Google a corrigé deux grandes failles de sécurité dans ses téléphones Pixel et en a divulgué les détails mardi, mais seulement après qu’elles aient été utilisées par des entreprises de médecine légale pour accéder sans avoir besoin d’un code PIN. Dans un bulletin de mise à jour de Pixel, Google a répertorié les deux vulnérabilités sous les références CVE-2024-29745, une faille de divulgation d’informations dans le chargeur de démarrage, et CVE-2024-29748, une faille d’escalade de privilèges dans le micrologiciel. Comme d’habitude, Google n’a pas reconnu les failles tant qu’un correctif pour les corriger n’était pas prêt. Google qualifie ces failles de « haute gravité » et recommande à tous les utilisateurs de mettre à jour leurs téléphones immédiatement. « Il y a des indications, » a déclaré l’avis de sécurité de Google, « que cela pourrait faire l’objet d’une exploitation ciblée limitée. » Les failles ont été découvertes par les créateurs de GrapheneOS, un système d’exploitation mobile open source axé sur la confidentialité et la sécurité, basé sur Android. Les chercheurs ont indiqué que, pour exploiter les failles, les entreprises de médecine légale devaient redémarrer les appareils Pixel en mode fastboot.
La dernière mise à jour de sécurité de Chrome sera plus proactive pour vous protéger.
Chrome reçoit une série de mises à jour de sécurité qui pourraient améliorer votre sécurité lors de la navigation en