Google March Android Security Update corrige deux vulnérabilités à haute gravité – Mettez à jour maintenant

La sortie en mars 2025 du Bulletin de sécurité Android traite non seulement 44 vulnérabilités totales – il corrige également deux vulnérabilités actives de haute sévérité qui ont été en cours d'exploitation dans la nature. Selon Google, CVE-2024-43093 et ​​CVE-2024-50302 sont tous deux sous «exploitation limitée et ciblée» et en réponse, la société a publié deux niveaux de correctifs de sécurité.

Les deux niveaux de correctifs de sécurité sont 2025-03-01 et 2025-03-05 qui sont destinés à donner de la flexibilité et à aborder rapidement une partie de vulnérabilités similaires sur tous les appareils Android.

Les deux vulnérabilités de haute sévérité sont toutes deux des défauts d'escalade privilégiés; Le CVE-2024-43092 est un défaut d'escalade de privilège dans le composant Framework qui pourrait permettre un accès non autorisé dans les répertoires ou les sous-répertoires, tandis que le CVE-2024-50302 est un défaut d'escalade de privilège dans le composant USB HID de l'attaquant local par le noyau spécial qui pourrait secouer.

La première vulnérabilité, CVE-2024-43092, a été précédemment signalée par Google comme étant activement exploitée dans un avis de novembre 2024; Cependant, il n'y a aucun détail sur la raison pour laquelle l'alerte a été émise pour la deuxième fois.

La deuxième vulnérabilité, CVE-2024-50302, est l'une des trois qui a été utilisée dans un exploit zéro jour en décembre 2024 pour pénétrer dans le téléphone Android d'un militant des jeunes serbes. Cet exploit a prélevé trois autres vulnérabilités (dans ce cas, CVE-2024-53104, CVE-2024-53197, CVE-2024-50302) pour gagner des privilèges élevés et déployer des logiciels spymétriques Android surnommé Novispy.

Ces trois vulnérabilités résident dans le noyau Linux et ont été corrigées l'année dernière, le CVE-2024-53104 étant traité par Google dans la mise à jour de la sécurité Android le mois dernier.