Google publie une mise à jour de sécurité pour Android qui corrige deux vulnérabilités zero-day déjà exploitées dans des attaques limitées. La mesure, annoncée le 1er décembre 2025, affecte l’ossature du système et nécessite une application immédiate par tous les utilisateurs. Le bulletin comprend plus de 100 correctifs, en donnant la priorité aux appareils dotés des versions 13 à 16 de Android. Fabricantes de terminaux reçoivent le code source dans les 48 heures pour distribution.
Ces failles, identifiées comme CVE-2025-48633 et CVE-2025-48572, permettent la divulgation d’informations sensibles et l’élévation de privilèges sans privilèges supplémentaires. Ataques se produit de manière distante et ciblée, éventuellement liée à des logiciels espions avancés. Usuários de Pixel reçoivent le correctif en premier, tandis que les autres OEM suivent un calendrier variable.
Détails des vulnérabilités exploitées
CVE-2025-48633 présente un risque d’exposition des données dans le framework, affectant les versions récentes de Android. La faille Essa permet aux attaquants d’accéder au contenu protégé sans interaction de l’utilisateur. Relatos indique une utilisation dans des campagnes spécifiques contre des cibles sélectionnées.
CVE-2025-48572 facilite un accès accru, permettant un meilleur contrôle sur l’appareil après la violation initiale. Ambas reçoit un indice de gravité élevé, avec un score CVSS d’environ 7,4 pour le second. Google confirme des signes d’exploitation active, mais évite les détails afin de ne pas aider les criminels.
Les fabricants doivent intégrer les correctifs dans les niveaux de correctifs 2025-12-01 et 2025-12-05. Dispositivos mis à niveau vers ces niveaux élimine les risques associés.
Portée de la mise à jour mensuelle
Le bulletin de décembre 2025 corrige 107 failles au total, réparties entre des composants tels que le framework, le système et le noyau. Dentre d’entre eux, 37 affectent le framework, y compris un CVE-2025-48631 critique qui provoque un déni de service à distance. Outras 14 touche le système, en se concentrant sur une validation d’entrée inadéquate.
Les correctifs du noyau totalisent neuf éléments, dont quatre critiques dans des sous-composants tels que Pkvm et UOMMU. Les Atualizações tiers, tels que Qualcomm et MediaTek, résolvent les plantages des pilotes fermés. Essa représente le deuxième plus grand nombre de corrections dans l’année, conformément à la politique trimestrielle de Google.
Les appareils avec Google Mobile Services activent des protections supplémentaires via Play Protect, qui analyse les applications à partir de sources externes.
Impact sur les appareils Pixel
Pixel reçoit la mise à jour directement via OTA, avec un déploiement initial le 1er décembre 2025. Usuários vérifie l’état de sécurité sur Configurações > Sobre le téléphone > Atualizações.
- Les correctifs du framework éliminent les risques de DoS à distance.
- Les correctifs du noyau renforcent l’isolation des processus.
- Les améliorations fonctionnelles résolvent les instabilités signalées dans les versions précédentes.
Les images du micrologiciel sont disponibles sur le site des développeurs Google pour les versions personnalisées. Les modèles pris en charge par Todos, à partir de Pixel 6, reçoivent la version sans délai.
Distribution à d’autres fabricants
Samsung commence le déploiement du Galaxy A34 5G, mais l’extension à l’ensemble de la gamme prend jusqu’à un mois. Les OEM Outros, tels que Motorola et Nokia, suivent le calendrier trimestriel de Google, en donnant la priorité au quatrième trimestre 2025. CISA ajoute les CVE au catalogue KEV dans les 48 heures, obligeant les agences fédérales à mettre à jour.
- Les OEM accèdent au code source via des référentiels privés.
- Les mises à jour OTA varient selon la région et l’opérateur.
- Les appareils existants peuvent nécessiter un chargement latéral manuel.
Il est recommandé d’éviter les applications provenant de sources non officielles jusqu’à leur application complète.
Mesures préventives essentielles
Activez les mises à jour automatiques sur tous les Androids pour recevoir les correctifs sans délai. Google Play Protect surveille les menaces en temps réel, bloquant les téléchargements suspects. Evite clique sur des liens inconnus, fréquents dans les attaques de phishing exploitant des failles similaires.
Pour vérifier, accédez à Configurações et recherchez « Niveau de correctif de sécurité ». Si la date est antérieure à décembre 2025, forcez la recherche manuelle. Dispositivos sans soutien officiel est confronté à de plus grands risques et mérite une évaluation pour son remplacement.
- Gardez le système et les applications à jour via Play Store.
- Utilisez un VPN fiable sur les réseaux publics.
- Effectuez des sauvegardes régulières des données sensibles.
Ces pratiques réduisent l’exposition aux exploits ciblés courants dans les scénarios d’espionnage.
Evolution des politiques de sécurité
Google adopte un modèle trimestriel pour des mises à jour complètes, soulageant ainsi les mois intermédiaires. Dezembro 2025 marque le pic des corrections, avec un focus sur les zero-days. La stratégie Essa équilibre vitesse et stabilité, garantissant que 90 % des appareils actifs sont corrigés dans les 90 jours.
Le noyau et les composants tiers reçoivent une attention particulière, avec quatre correctifs critiques dans Qualcomm. MediaTek publie des bulletins parallèles pour les puces intégrées. Le processus reflète les enseignements tirés d’incidents passés, tels que les exploits de septembre 2025.
Les utilisateurs d’entreprise intègrent MDM pour une distribution forcée, minimisant ainsi les fenêtres de vulnérabilité.
Versions concernées et compatibilité
Les pannes impactent Android 13, 14, 15 et 16, couvrant la majorité des appareils utilisés. Versões antérieur, comme 12, s’échappe mais manque de support général. Atualização du 05/12/2025 résout les 107 problèmes, y compris les problèmes de noyau publiés le 5 décembre.
- Android 13 : Correções pour le framework et le système.
- Android 14 : Patches supplémentaires dans les pilotes.
- Android 15/16 : Integração complet avec les mises à jour du système Play.
Les fabricants testent la compatibilité avant le déploiement, évitant ainsi les régressions fonctionnelles.
