Deux failles critiques, déjà utilisées dans des attaques ciblées, ont été corrigées dans le patch de sécurité Android de septembre. Google en profite pour colmater plus de 80 autres vulnérabilités, dont plusieurs jugées critiques.
- Google a corrigé deux failles critiques déjà exploitées dans des attaques ciblées, touchant le noyau Linux et Android Runtime.
- Une autre vulnérabilité critique permet l'exécution de code à distance via Wi-Fi ou Bluetooth, sans interaction de l'utilisateur.
- Les mises à jour de sécurité dépendent des fabricants et peuvent prendre du temps à être déployées sur certains appareils.
La rentrée démarre sur les chapeaux de roue pour les équipes de sécurité Android. Google vient de publier son bulletin de sécurité Android pour septembre 2025, et annonce avoir corrigé un ensemble conséquent de vulnérabilités affectant plusieurs couches du système. Deux failles critiques sont signalées comme ayant déjà été exploitées dans des attaques ciblées, tandis qu’une autre, jugée particulièrement grave, permet l’exécution de code à distance sur un smartphone via Wi-Fi ou Bluetooth. Les versions 13 à 16 de l'OS mobile sont directement concernées, mais certaines vulnérabilités remontent probablement jusqu’à Android 10.
Deux vulnérabilités zero-day exploitées dans des attaques ciblées
Ce sont sans doute les deux failles les plus urgentes de ce bulletin de septembre. Déjà exploitées dans des attaques ciblées – même si limitées pour l’instant – elles présentent un potentiel d’abus réel dans la mesure où elles permettent de contourner les protections du système sans interaction de l’utilisateur ou de l’utilisatrice, ni autorisations particulières.
La première, CVE-2025-38352, affecte le noyau Linux, au cœur du système Android. Elle repose sur une race condition, un défaut de synchronisation qui peut survenir lorsque plusieurs processus manipulent en parallèle une ressource partagée. Ici, la vulnérabilité touche les minuteries CPU POSIX, un mécanisme utilisé pour suivre la consommation de temps processeur par les applications. Une mauvaise gestion de ces minuteries peut provoquer des erreurs lors du nettoyage des tâches, entraîner des comportements instables, des plantages, ou permettre à un attaquant local de forcer une élévation de privilèges et de compromettre le système.
À titre d’information, la faille avait été corrigée en juillet 2025 dans la version principale du noyau Linux, via un patch appliqué en upstream à partir de la version 6.12.35-1. Or, Android repose sur des versions spécifiques du noyau, souvent modifiées et généralement plus anciennes, parce que Google doit justement analyser ces failles, adapter les correctifs aux branches concernées, les tester, puis les intégrer à son bulletin mensuel de sécurité. C’est ce qui explique pourquoi cette vulnérabilité ne figure qu’au bulletin de septembre, et non à celui d’août.
La seconde faille, CVE-2025-48543, concerne Android Runtime, l’environnement qui exécute les applications Java et Kotlin. Une application malveillante pouvait en abuser pour contourner le système d’isolation entre applications (sandbox) et accéder à des fonctions système plus sensibles que prévu.
D'autres failles critiques dans le système et les composants réseau
Parmi les autres vulnérabilités corrigées dans le bulletin de septembre, CVE-2025-48539 figure parmi les plus préoccupantes. Cette faille critique touche le composant système d’Android et permet à un attaquant situé à proximité de l’appareil d’exploiter le Bluetooth ou le Wi-Fi pour exécuter du code à distance, là encore sans interaction de la cible, ni privilège particulier. En clair, il suffit que l’appareil soit allumé et dans le périmètre radio pour qu’une attaque soit envisageable.
Trois autres vulnérabilités critiques concernent également des composants propriétaires de Qualcomm, présents sur de nombreux smartphones Android. CVE-2025-21450 touche le module GPS, exposant aux attaques de type man-in-the-middle via des communications non sécurisées. CVE-2025-21483 permet une exécution de code à distance en corrompant la mémoire lors du réassemblage de flux vidéo RTP, utilisés notamment par certaines applications de streaming ou de visioconférence. Enfin, CVE-2025-27034 exploite une erreur de validation dans le composant radio pour exécuter du code dans le processeur baseband, chargé des communications mobiles.
Comme toujours avec Android, les correctifs publiés par Google ne sont intégrés qu’aux appareils bénéficiant encore d’un support actif, et leur déploiement dépend étroitement des fabricants et opérateurs. Les Pixel reçoivent les mises à jour directement, mais pour les autres smartphones Android, les délais peuvent varier de quelques semaines à plusieurs mois – voire ne jamais arriver.
Les utilisateurs et utilisatrices disposant d’un appareil encore pris en charge peuvent vérifier manuellement l’arrivée du patch de sécurité de septembre dans les paramètres système. Il est conseillé de l’appliquer dès que possible, notamment pour se prémunir contre les failles déjà exploitées. Pour les modèles plus anciens ou abandonnés par les constructeurs, le recours à une ROM alternative ou à une solution de sécurité tierce peut s’avérer nécessaire, même s’il ne remplace pas un correctif natif.
Source : Google
