Mise à jour Android : 120 failles corrigées, dont 2 actives.

Google publie un ensemble de correctifs urgents pour septembre afin de corriger des vulnérabilités graves déjà exploitées.

Mise à jour de sécurité record pour septembre

Android a déployé sa plus importante mise à jour de sécurité de l'année, proposant 120 correctifs aux utilisateurs du monde entier. Contrairement à la mise à jour de juillet, où aucun nouveau correctif n'avait été jugé nécessaire, l'urgence de cet ensemble de correctifs est évidente : des acteurs malveillants exploitent déjà deux vulnérabilités dans le cadre de ce que Google décrit comme une « exploitation limitée et ciblée ».

Ces failles, CVE-2025-38352 dans le noyau Linux et CVE-2025-48543 dans l'environnement d'exécution d'Android, permettent une élévation des privilèges sans interaction de l'utilisateur. Bien que Google n'ait pas encore identifié les attaquants, les chercheurs soupçonnent les fournisseurs de logiciels espions d'exploiter ces faiblesses. L'équipe de cybersécurité de Hong Kong a renforcé les avertissements de l'entreprise, en soulignant des preuves d'activités ciblées à petite échelle.

Problèmes Qualcomm et Imagination Technologies corrigés

Au-delà des vulnérabilités qui font la une des journaux, la mise à jour corrige également trois failles critiques dans les composants Qualcomm. Il s'agit notamment de problèmes affectant les systèmes GPS, les piles de données mobiles et les processeurs d'appels, dont l'un a un score de gravité de 9,1 sur 10. Qualcomm a récemment prolongé la période de prise en charge de ses appareils jusqu'à huit ans, une décision largement considérée comme s'alignant sur la volonté de Google d'allonger le cycle de vie des logiciels.

Imagination Technologies, la société à l'origine des puces graphiques PowerVR que l'on trouve dans de nombreux appareils Android, a également retenu l'attention dans cet ensemble de correctifs, car 10 problèmes graves dans ses pilotes GPU ont été corrigés.

Une faille critique inquiétante dans le composant Système

Si la plupart des correctifs sont classés comme hautement critiques, une autre faille dans le système central d'Android se distingue particulièrement. Identifiée sous le nom CVE-2025-48539, cette faille est une vulnérabilité d'exécution de code à distance (RCE) qui pourrait, en théorie, permettre à des pirates de compromettre un appareil sans y avoir physiquement accès.

Malheureusement, la fragmentation de l'écosystème Android ralentit souvent la distribution des correctifs. Alors que les téléphones Pixel de Google reçoivent les mises à jour immédiatement, les autres fabricants prennent plus de temps, laissant des millions d'appareils exposés.

Google ne détient actuellement qu'environ 4 % du marché américain des smartphones, ce qui signifie que la plupart des utilisateurs d'Android dépendent de fabricants tels que Samsung et Motorola pour le déploiement des mises à jour. À l'heure actuelle, aucune de ces deux sociétés n'a indiqué quand les utilisateurs peuvent s'attendre à recevoir ces correctifs.

Ajouter une couche de sécurité supplémentaire au-delà des correctifs

Il est toujours essentiel d'installer les correctifs de sécurité dès leur arrivée. Cela permet de combler les failles que les pirates visent dans les systèmes vulnérables. Cependant, les vulnérabilités peuvent être exploitées avant que les correctifs n'atteignent tous les appareils, et c'est là que des outils de sécurité spécialisés entrent en jeu.

Des solutions telles que Bitdefender Mobile Security pour Android offrent une protection supplémentaire en bloquant en temps réel les logiciels malveillants, les tentatives d'hameçonnage et les applications suspectes. Bien qu'ils ne remplacent pas les correctifs de sécurité, ces outils spécialisés peuvent aider à protéger les utilisateurs pendant la longue attente qui précède souvent la livraison des correctifs par les fabricants.