Google a révélé deux vulnérabilités de jour zéro activement exploitées dans sa dernière mise à jour de sécurité mensuelle pour les appareils Android. Les vulnérabilités, identifiées comme CVE-2025-48633 et CVE-2025-48572, sont des défauts de haute gravité qui affectent le cadre d’Android, permettant aux attaquants d’accéder à des informations et d’escalader des privilèges. Malgré leur gravité, elles n’ont jusqu’à présent pas été incluses dans le catalogue des vulnérabilités connues exploitées de l’Agence de cybersécurité et d’infrastructure des États-Unis (CISA).
Problèmes avec Android
L’avis de sécurité de décembre est significatif, car il inclut un total de 107 défauts résolus, ce qui est le deuxième plus grand nombre de vulnérabilités corrigées cette année, seulement dépassé par les 120 corrigées en septembre. Cette année a été irrégulière en termes de divulgation de vulnérabilités, avec des mois sans défauts signalés, comme juillet et octobre, et un total de seulement six vulnérabilités en août.
La dernière mise à jour de Google présente deux niveaux de correctif —2025-12-01 et 2025-12-05— qui permettront aux partenaires d’Android de traiter les vulnérabilités courantes sur différents appareils. Les fabricants d’appareils Android publient généralement les mises à jour de sécurité selon leur propre calendrier, personnalisant les mises à jour du système d’exploitation pour leur matériel spécifique.
Il a également été indiqué que la vulnérabilité la plus critique abordée dans ce correctif est CVE-2025-48631, qui pourrait permettre à un attaquant de réaliser une attaque par déni de service à distance sans nécessiter de privilèges supplémentaires. La mise à jour comprend des corrections pour divers domaines, allant du cadre et du système, jusqu’aux composants critiques de fabricants tels que Qualcomm et MediaTek.
Enfin, il a été confirmé que le code source de toutes les vulnérabilités traitées dans cette mise à jour sera libéré dans le dépôt du Projet de Code Ouvert d’Android mercredi.