La mise à jour de sécurité de septembre 2025 publiée par Google corrige plus de 100 vulnérabilités, dont deux failles zero-day activement exploitées. Ces vulnérabilités touchent le noyau Linux et l’environnement d’exécution Android. Tous les utilisateurs sont invités à installer les correctifs au plus vite.
Deux vulnérabilités critiques utilisées dans des attaques ciblées
CVE-2025-38352 : faille dans le noyau Linux
Cette vulnérabilité est une condition de course dans le sous-système des minuteries POSIX du noyau Linux. Elle peut permettre à un attaquant local — comme une application malveillante installée sur l’appareil — d’obtenir des privilèges système supérieurs. L’exploitation ne nécessite ni interaction de l’utilisateur, ni autorisations supplémentaires.
Le fait qu’elle soit activement exploitée suggère une utilisation dans le cadre de campagnes d’espionnage ciblé, potentiellement orchestrées par des acteurs gouvernementaux ou des entreprises de surveillance commerciale.
CVE-2025-48543 : vulnérabilité dans Android Runtime
Cette faille, située dans le composant Android Runtime (ART), repose sur un bug de type « use after free ». Elle permet à un attaquant de contourner le sandbox de Chrome et d’exécuter du code au niveau du processus système system_server. Là encore, aucun clic ni intervention utilisateur n’est nécessaire.
Ce type de vulnérabilité est particulièrement dangereux car il donne à un attaquant un contrôle presque total sur l’appareil compromis.
Une faille RCE silencieuse mais critique
CVE-2025-48539 : exécution de code à distance via le composant System
Parmi les autres failles critiques corrigées, CVE-2025-48539 attire l’attention. Elle affecte le composant System d’Android et permet une exécution de code à distance dans un contexte proche — probablement via Bluetooth, NFC ou Wi-Fi Direct. Cette vulnérabilité ne nécessite ni privilèges supplémentaires ni interaction utilisateur, ce qui en fait une menace sérieuse dans des environnements denses comme les transports ou les événements publics.
Qui est concerné par les correctifs de septembre 2025 ?
Android 13 à 16 : mise à jour disponible
La mise à jour de septembre est disponible pour les appareils tournant sous Android 13, 14, 15 et 16. Elle se décline en deux niveaux de patch :
- 2025-09-01 : corrige les failles dans les composants Android (System, Runtime, Framework).
- 2025-09-05 : ajoute les correctifs pour le noyau Linux et les composants tiers (Qualcomm, MediaTek, etc.).
Pour être totalement protégé, les utilisateurs doivent s’assurer que leur appareil affiche un niveau de correctif au 05 septembre 2025 ou ultérieur.
Mises à jour spécifiques selon les fabricants
- Pixel : les modèles de Google reçoivent immédiatement l’ensemble des correctifs.
- Samsung : les appareils phares bénéficient d’une mise à jour incluant les deux failles exploitées.
- Motorola : seuls certains modèles sont protégés contre CVE-2025-48543, pas encore contre CVE-2025-38352.
- Autres marques : la disponibilité dépend du fabricant et du modèle. Certains smartphones anciens restent sans protection.
Pourquoi ces mises à jour sont vitales
Les vulnérabilités en question permettent des attaques sans clic, avec une élévation de privilèges locale, et sont déjà utilisées sur le terrain. Les utilisateurs de téléphones non mis à jour courent un risque élevé d’intrusion, de vol de données et de surveillance.
Plus inquiétant encore : selon certaines estimations, près d’un milliard d’appareils Android dans le monde ne peuvent plus recevoir de mises à jour de sécurité. Ces téléphones deviennent des cibles faciles pour les cybercriminels.
Suivez-nous sur Google Actualités
