Google vient de corriger une faille de sécurité critique dans Android. Déjà exploitée par des pirates, cette vulnérabilité se niche dans FreeType, une bibliothèque utilisée pour afficher les polices de caractères sur le système d’exploitation. Elle permet l’exécution de code malveillant sans interaction de l’utilisateur.
Google vient de publier la mise à jour de sécurité d’Android du mois de mai 2025. Avec ce nouveau bulletin de sécurité, le géant de Mountain View corrige 46 failles identifiées dans le système d’exploitation. Le mois dernier, Google avait débusqué et colmaté plus de 60 vulnérabilités dans le code de l’OS.
Parmi les brèches épinglées en mai, on trouve une vulnérablité de haute gravité, située dans la bibliothèque open source FreeType, utilisée pour le rendu des polices de caractères. Il s’agit d’un problème d’écriture hors limites, un type d’erreur où un programme écrit des données en dehors de la zone mémoire allouée. Ce bug résulte d’une mauvaise gestion des types de données.
Une redoutable vulnérabilité exploitée par des pirates
En exploitant la vulnérabilité, un cybercriminel est en mesure d’injecter et exécuter du code malveillant sur le système affecté, sans avoir besoin de privilèges élevés. De plus, une attaque peut se dérouler sans nécessiter la moindre interaction de la part de l’utilisateur du smartphone. L’utilisateur n’a pas besoin de cliquer ou d’interagir avec quoi que ce soit. En fait, le simple traitement d’une police malveillante suffit à déclencher la vulnérabilité.
C’est pourquoi la faille est particulièrement préoccupante.
Pire, il s’avère que la faille a été exploitée par des cybercriminels dans le cadre d’attaques. Pour des raisons de sécurité, Google n’en a pas dit plus sur les circonstances des cyberattaques reposant sur la vulnérabilité. Notez que les cyberattaques ont déjà été épinglées par Meta en mars 2025.
Le problème a été corrigé dans les dernières versions de FreeType.
Il ne restait plus qu’à attendre que tout le monde incorpore ce correctif. En miroir d’Android, plusieurs distributions Linux, telles qu’Ubuntu, Debian et Fedora, ont également intégré des correctifs pour cette vulnérabilité.
Installez la mise à jour Android au plus vite
Sans surprise, Google demande à tous les utilisateurs de smartphones Android d’installer la mise à jour dès que possible. Pour le moment, la mise à jour vient d’arriver sur les Pixel. Pour que tous les smartphones Android soient protégés, les fabricants doivent intégrer les correctifs de sécurité dans leurs interfaces personnalisées.
En effet, Google fournit les mises à jour de sécurité, mais ce sont les constructeurs, comme Samsung ou Xiaomi, qui doivent les adapter à leurs appareils.
Une étude universitaire de 2021 a montré que le délai médian entre la publication d’un correctif par Google et sa diffusion aux utilisateurs est d’environ 24 jours, avec des variations importantes selon les fabricants. Pour découvrir si le correctif est d’ores et déjà disponible sur votre smartphone, rendez-vous dans Paramètres > À propos de l’appareil > Mise à jour logicielle.
