Dans le cadre de ses mises à jour de sécurité de novembre à destination des appareils Android, Google signale deux vulnérabilités qui font l'objet d'une exploitation active dans des attaques. Cette exploitation est dite limitée et ciblée.
Ce n'est pas une surprise, puisque l'une des vulnérabilités 0-day est CVE-2024-43047. Elle avait été évoquée début octobre par Qualcomm pour un problème affectant le service DSP (Digital Signal Processor) et plus d'une soixantaine de chipsets.
Exploitable par des attaquants en local avec de faibles privilèges, la faille CVE-2024-43047 a été rapportée fin septembre par Seth Jenkins de Google Project Zero et Conghui Wang d'Amnesty International Security Lab.
La présence du correctif de Qualcomm dans les mises à jour de sécurité d'Android favorisera de fait une plus ample diffusion. Le responsable du Security Lab chez Amnesty Tech avait souligné une faille touchant des dizaines de millions d'utilisateurs d'Android.
Non critique individuellement
Référencée CVE-2024-43093, la deuxième vulnérabilité 0-day concerne le framework Android et les mises à jour du système Google Play. Il est en particulier fait allusion au module Documents UI qui contrôle l'accès à des fichiers spécifiques pour les composants impliqués dans la gestion des autorisations de document.
Avec un niveau de dangerosité élevé, cette vulnérabilité d'élévation de privilèges n'est également pas jugée critique, même si le risque réside dans l'enchaînement de plusieurs failles pour parvenir à mener des attaques efficaces. Là encore, peu de détails à ce sujet.
À noter que pour les deux vulnérabilités CVE-2024-43093 et CVE-2024-43047, les patchs sont respectivement intégrés dans le correctif du 1er novembre et du 5 novembre.