Quand ce n’est pas Chrome, c’est Android. Google vient de publier sa mise à jour de sécurité de septembre, et au vu des corrections apportées, il vaudrait mieux ne pas tarder à l’installer.
C’est un petit rituel mensuel qui dure depuis longtemps maintenant. Comme à chaque début de mois, Google déploie une mise à jour de sécurité pour Android qui vise à corriger des vulnérabilités avant qu’elles ne soient exploitées. Sauf que cette fois-ci, le changelog contenait une (mauvaise) surprise : parmi les 34 failles patchées s’est glissée une CVE au niveau de gravité élevé.
Une faille activement exploitée
Estampillée CVE-2024-32896, la faille atteint un score CVSS de 7.8 d’après la nomenclature du NIST. Dans le détail, elle permet à des pirates d’exploiter une erreur logique dans le code de l’OS pour contourner certaines barrières sur Android et déclencher une élévation des privilèges sans requérir d’autorisation supplémentaire. Un classique. Mais si cette vulnérabilité pose aujourd’hui de réels enjeux de sécurité, c’est parce qu’elle avait déjà été détectée et corrigée sur les Google Pixel en juin dernier.
Depuis, trois mois se sont écoulés sans que les modèles de smartphones commercialisés par d’autres constructeurs aient pu, eux aussi, bénéficier d’un patch. Résultat, la vulnérabilité étant connue de tous et toutes depuis le début de l’été, elle a été activement exploitée.
Il est donc plus que vivement conseillé de mettre à jour son système Android avec le patch de septembre, versions 12, 12L, 13 et 14 comprises, les moutures antérieures n’étant plus prises en charge par Google. Pour ce faire, il faudra vous rendre dans les Paramètres>Système>Mises à jour logicielles>Mise à jour du système. Si le correctif n’apparaît pas, vous pouvez lancer une recherche manuelle en sélectionnant Rechercher les mises à jour.
Un correctif complémentaire pour les Pixel
Outre cette faille exploitée, le patch de sécurité Android de septembre vient corriger 33 autres vulnérabilités tout aussi importantes, dont deux imputables aux composants Qualcomm.
En parallèle, Google a déployé un second patch exclusivement réservé aux Pixel 6 et modèles plus récents tournant sur Android 14. Ce correctif vient mettre fin à six vulnérabilités permettant de mener des attaques par élévation de privilèges, toutes évaluées par le NIST comme représentant un risque critique pour la sécurité des appareils.
Autre bonne nouvelle, cette mise à jour de sécurité complémentaire règle enfin le problème Showcase.apk. Pour rappel, cette appli indécelable pour le grand public et développée par Smith Micro pour Verizon devait servir à transformer les smartphones de Google en objets de démonstration dans les magasins. Potentiellement installée sur tous les Pixel depuis 2017, Showcase.apk a fait grand bruit cet été alors qu'elle avait été détournée par des hackers pour exécuter du code à distance et installer des programmes malveillants sur les appareils piratés. Google, au courant depuis le mois de mai 2023, était alors resté très vague concernant le déploiement d'un patch de sécurité.
Source : Bleeping Computer
