Il y a une piqûre dans la queue avec celui de ce mois-ci Mise à jour de sécurité Androiddont les détails ont été dévoilés cette semaine. Google a confirmé que deux vulnérabilités corrigées dans la version « pourraient faire l’objet d’une exploitation limitée et ciblée ». Rien de particulièrement fâcheux, si ce n’est qu’une de ces menaces, CVE-2024-43047, qui affecte certains Qualcomm chipsets, a suscité un avertissement du gouvernement américain avec pour mandat de mettre à jour ou de cesser d’utiliser les téléphones Android concernés d’ici le 29 octobre. Clairement impossible à faire.
Le 8 octobre, l’agence de cybersécurité du gouvernement américain a averti les utilisateurs que « plusieurs chipsets Qualcomm contiennent une vulnérabilité d’utilisation après libération en raison d’une corruption de la mémoire dans les services DSP tout en conservant les cartes mémoire de la mémoire HLOS », obligeant tous les employés fédéraux à « appliquer des mesures correctives ou des atténuations selon les instructions du fournisseur », d’ici le 29 octobre, « ou à cesser d’utiliser du produit si des mesures correctives ou des mesures d’atténuation ne sont pas disponibles.
En ce qui concerne ces correctifs, Qualcomm affirme avoir mis des correctifs à la disposition des constructeurs OEM d’appareils en septembre et les a exhortés à déployer ces correctifs « sur les appareils publiés dès que possible ». Bien que ces correctifs fassent désormais partie de la version Android de novembre et arriveront sur les Pixels dès leur mise à jour, l’histoire des autres constructeurs OEM variera. Samsung, par exemple, n’a pas encore confirmé cette mise à jour, et il manquait dans leur propre mise à jour de sécurité de novembre publiée le même jour que celle d’Android..
Alors que le mandat officiel de CISA selon sa vulnérabilité exploitée connue (KEV) s’applique uniquement au personnel fédéral, l’agence opère « dans l’intérêt de la communauté de la cybersécurité et des défenseurs des réseaux — et pour aider chaque organisation à mieux gérer les vulnérabilités et à suivre le rythme des activités de menace… Les organisations devraient utiliser le catalogue KEV comme contribution à leur cadre de priorisation de la gestion des vulnérabilités. En tant que tel, les employés d’autres entités publiques et privées doivent également appliquer une autre mise à jour dès qu’elle est disponible. Le premier avertissement d’exploitation est venu du groupe d’analyse des menaces de Google, qui suggère à la fois qu’il s’agit d’un problème grave et qu’il s’agit probablement d’un logiciel espion, une menace pour les entreprises.
Les utilisateurs de smartphones peuvent voir les chipsets concernés répertoriés ci-dessus, et la plupart des utilisateurs pourront vérifier le modèle de votre smartphone par rapport aux chipsets concernés ici. Tous les constructeurs OEM Android devraient publier la mise à jour maintenant qu’elle est disponible, même si les utilisateurs seront toujours redevables aux modèles, aux régions, aux opérateurs et aux états de verrouillage pour déterminer quand elle sera installée sur leur appareil. Pour tous les employés fédéraux possédant des téléphones concernés, vous avez dépassé la date limite et vous devez vous assurer que vous avez été mis à jour dès que possible. Pour d’autres, le même conseil s’applique réellement. Ne laissez pas les appareils sans protection plus longtemps que nécessaire et jusqu’à ce qu’ils sont mis à jour, en vous méfiant de ce sur quoi vous cliquez, installez et ouvrez.
Une autre vulnérabilité Zero Day a également été corrigée dans la version Android de novembre : CVE-2024-43093. C’était l’un des propres de Google et cela affecte le framework Google Play, qui a fait l’actualité pour d’autres raisons cette semaine, provoquant le chaos sur certains téléphones Pixel et empêchant l’exécution des applications. Ce patch a fait intégrez-le au SMR de novembre de Samsung et vous pouvez vérifier les détails de la mise à jour de votre propre OEM en utilisant les sites Web habituels ou les listes sur l’appareil.
Avec deux vulnérabilités sérieuses exploitées et le retard de la date limite de mise à jour de CISA, la version de ce mois-ci prend une note plus sérieuse que d’habitude. Mettez à jour votre téléphone dès que possible.