Google a corrigé une faille de sécurité de grande gravité affectant le noyau Android et qui a été activement exploitée dans la nature.
La vulnérabilité, identifiée comme CVE-2024-36971, a été décrite comme un cas d’exécution de code à distance impactant le noyau.
« Il existe des indications selon lesquelles CVE-2024-36971 pourrait faire l’objet d’une exploitation limitée et ciblée », a déclaré le géant de la technologie. noté dans son bulletin mensuel de sécurité Android d’août 2024.
Comme c’est souvent le cas, l’entreprise n’a pas fourni de détails supplémentaires sur la nature des cyberattaques exploitant la faille ni attribué l’activité à un acteur ou à un groupe de menaces particulier. On ne sait pas encore si les appareils Pixel sont également touchés par le bug.
Cela dit, Clément Lecigne du groupe d’analyse des menaces de Google (TAG) a été crédité en signalant la faille, suggérant qu’elle est probablement exploitée par des fournisseurs de logiciels espions commerciaux pour infiltrer les appareils Android dans des attaques étroitement ciblées.
Le correctif d’août corrige un total de 47 failles, y compris celles identifiées dans les composants associés à Arm, Imagination Technologies, MediaTek et Qualcomm.
Google a également résolu 12 failles d’escalade de privilèges, un bug de divulgation d’informations et une faille de déni de service (DoS) affectant le framework Android.
En juin 2024, la société de recherche a révélé qu’un problème d’élévation de privilèges dans le micrologiciel Pixel (CVE-2024-32896) a été exploité dans le cadre d’attaques limitées et ciblées.
Google a ensuite déclaré à The Hacker News que l’impact du problème allait au-delà des appareils Pixel pour inclure la plate-forme Android plus large et qu’il travaillait avec des partenaires OEM pour appliquer les correctifs le cas échéant.
Auparavant, la société avait également corrigé deux failles de sécurité dans les composants du chargeur de démarrage et du micrologiciel (CVE-2024-29745 et CVE-2024-29748) qui avaient été exploitées par des sociétés d’investigation pour voler des données sensibles.
Cette évolution intervient alors que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoutée CVE-2018-0824, un faille d’exécution de code à distance impactant Microsoft COM pour Windows sur ses vulnérabilités connues exploitées (KEV) catalogue, exigeant que les agences fédérales appliquent les correctifs avant le 26 août 2024.
Cet ajout fait suite à un rapport de Cisco Talos selon lequel la faille a été exploitée par un acteur de menace étatique chinois nommé APT41 dans une cyberattaque visant un institut de recherche anonyme affilié au gouvernement taïwanais pour obtenir une escalade des privilèges locaux.