Dernier tour de piste pour Android en 2025, avec un patch qui corrige plus de 100 vulnérabilités et met en avant trois failles prioritaires, dont deux déjà exploitées. Le déploiement s’effectue en deux temps et dépendra de la réactivité des constructeurs.
Google boucle l’année avec un bulletin de sécurité Android particulièrement chargé. Au total, Mountain View annonce avoir corrigé 107 vulnérabilités, parmi lesquelles deux failles sérieuses déjà exploitées dans des attaques ciblées. Comme toujours, les correctifs arriveront en deux temps, et l’on ne saurait que trop vous conseiller de garder un œil sur vos paramètres de mise à jour système.
Des failles à la pelle pour la dernière de 2025
Dans le détail, le bulletin met d’abord en avant deux vulnérabilités que Google considère comme déjà exploitées dans des attaques limitées, probablement menées dans le cadre d’opérations de surveillance ou d’espionnage hautement ciblées, dirigées contre un nombre restreint de profils jugés sensibles.
La première, CVE-2025-48633, est une faille de divulgation d’informations. La seconde, CVE-2025-48572, permet une élévation de privilèges. Toutes deux concernent Android 13, 14, 15 et 16, et Google ne fournit pour l’instant aucun détail sur les vecteurs ou les chaînes d’attaque, afin de laisser aux partenaires le temps de déployer les patchs. On sait simplement que CVE-2025-48633 peut exposer des données internes que les applications ne sont normalement pas autorisées à consulter, là où CVE-2025-48572 permet à un processus local, en principe limité par la sandbox, d’obtenir des droits étendus sur le système, avec la possibilité d’accéder à davantage de données ou de manipuler des composants sensibles.
Outre ces deux cas considérés comme les plus urgents, Google met également en avant une troisième vulnérabilité majeure au cœur du framework Android, qui gère une grande partie du fonctionnement interne du système et des interactions entre les applications et les services de base. Référencée CVE-2025-48631 et classée critique, elle peut permettre à un attaquant de provoquer un déni de service à distance sur Android 13 à 16 sans disposer d’aucun privilège particulier, et donc de faire planter l’appareil ciblé. À noter que ce type de faille ne permet pas de prendre le contrôle total du smartphone, mais il peut servir de tremplin pour préparer le terrain à d’autres attaques plus élaborées.
Autour de ce trio de failles sensibles, le reste du bulletin aligne une petite centaine de vulnérabilités supplémentaires, classées pour la plupart au niveau élevé. Elles touchent aussi bien le framework et les composants système que le noyau et les modules fournis par les partenaires matériels. On y retrouve les mêmes grandes familles de problèmes, avec des élévations de privilèges, des divulgations d’informations et des dénis de service, mais dans des scénarios jugés moins critiques que pour les trois vulnérabilités mises en avant. Les correctifs publiés concernent notamment pKVM, la couche de virtualisation protégée d’Android, et l’IOMMU, qui encadre les accès mémoire des périphériques, ainsi que la pile réseau, les GPU Mali, les modems MediaTek et Unisoc, et plusieurs composants propriétaires Qualcomm.
Deux vagues de correctifs qui ne dispensent pas de faire attention
Comme tous les mois, ces correctifs sont distribués en deux temps. La première vague, déployée depuis le 1er décembre, couvre les failles du framework et des composants système. La seconde, attendue pour le 5 décembre, rassemblera les corrections plus profondes appliquées au noyau et aux modules des partenaires matériels. Entre les deux, les constructeurs intègrent les patchs dans leurs firmwares avant de les diffuser via une update OTA, ce qui explique que tous les appareils ne soient pas mis à jour au même rythme.
Côté utilisateur et utilisatrice, pensez donc à bien installer les mises à jour dès leur disponibilité, vérifiez ponctuellement le niveau de correctif de sécurité appliqué à votre téléphone, ne désactivez pas Google Play Protect et limitez l’installation d’APK issus de sources non fiables. Pour les appareils déclarés obsolètes, vous pouvez soit opter pour une ROM alternative comme LineageOS ou /e/OS, à condition d’être à l’aise avec ce type de manipulation, soit envisager de passer à un modèle de smartphone plus récent lorsque c’est possible (et c’est bientôt Noël).
Source : Google
