Google met en garde contre une vulnérabilité CVE-2024-43093 activement exploitée dans le système Android

05 novembre 2024Ravie LakshmananSécurité mobile/vulnérabilité

Google a averti qu’une faille de sécurité affectant son système d’exploitation Android était activement exploitée.

La vulnérabilité, identifiée comme CVE-2024-43093, a été décrite comme une faille d’élévation de privilèges dans le composant Android Framework qui pourrait entraîner un accès non autorisé aux répertoires « Android/data », « Android/obb » et « Android/sandbox ». et ses sous-répertoires, selon un message de validation de code.

Il n’existe actuellement aucun détail sur la façon dont la vulnérabilité est exploitée dans des attaques réelles, mais Google reconnu dans son bulletin mensuel, il y a des indications qu’il « pourrait faire l’objet d’une exploitation limitée et ciblée ».

Le géant de la technologie a également signalé CVE-2024-43047, un bug de sécurité désormais corrigé dans les chipsets Qualcomm, comme ayant été activement exploité. Une vulnérabilité d’utilisation après libération dans le service DSP (Digital Signal Processor), dont l’exploitation réussie pourrait entraîner une corruption de la mémoire.

Le mois dernier, le fabricant de puces a remercié Seth Jenkins et Conghui Wang, chercheurs de Google Project Zero, pour avoir signalé la faille, et Amnesty International Security Lab pour avoir confirmé l’activité dans la nature.

L’avis ne fournit aucun détail sur l’activité d’exploitation ciblant la faille ni sur le moment où elle a pu commencer, bien qu’il soit possible qu’elle ait été exploitée dans le cadre d’attaques de logiciels espions hautement ciblées visant des membres de la société civile.

On ne sait pas non plus si les deux vulnérabilités de sécurité ont été conçues ensemble comme une chaîne d’exploitation pour élever les privilèges et réaliser l’exécution de code.

CVE-2024-43093 est la deuxième faille du framework Android activement exploitée après CVE-2024-32896, qui a été corrigée par Google en juin et septembre 2024. Bien qu’elle ait été initialement résolue uniquement pour les appareils Pixel, la société a confirmé plus tard que la faille avait un impact sur l’écosystème Android plus large.