L'Agence indienne de reponse aux urgences informatiques (CERT-In) vient d'emettre un avertissement de cybersecurite, demandant aux utilisateurs de smartphones Android d'installer d'urgence la derniere mise a jour du systeme apres que Google a corrige une faille grave liee au logiciel audio Dolby.
Selon CERT-In, cette vulnerabilite existe dans le decodeur unifie Dolby Digital Plus (DD+), un composant largement integre sur de nombreux appareils Android.
Le probleme a ete decouvert par des chercheurs en securite a partir d'octobre 2025 et est considere comme presentant un niveau de risque eleve en raison de la possibilite d'exploitation a distance.
Dans une recommandation officielle, CERT-In indique que la faille permet aux assaillants d'acceder illegalement a l'appareil affecte et, dans certains cas, d'executer des commandes a distance sans que l'utilisateur n'ait a effectuer d'operation.
Cela signifie que le telephone peut etre secretement pirate, entraînant des interruptions de fonctionnement, des fuites ou des dommages aux donnees stockees sur l'appareil.
Google a confirme l'incident dans le bulletin de securite Android de janvier et a publie une correction dans le pack de mise a jour de securite. CERT-In souligne que cette recommandation s'applique a tous les utilisateurs d'Android, des particuliers aux organisations, car Dolby Decoder est un composant courant de l'ecosysteme Android.
Expliquant davantage les raisons techniques, Dolby a declare que certaines versions specifiques du decodeur DD+ Unified Decoder, y compris les versions 4.5 et 4.13, peuvent enregistrer des donnees au-dela de la zone de memoire autorisee lors du traitement de certains flux sonores.
Cette erreur de debordement de memoire peut etre exploitee pour prendre le controle de l'appareil, affectant certains modeles Google Pixel et de nombreux autres telephones Android.
Des chercheurs en securite du groupe Project Zero de Google, l'unite qui a decouvert la faille, ont declare que le point le plus dangereux de l'incident residait dans le fait que l'agresseur n'avait pas besoin d'inciter les utilisateurs a cliquer sur des liens ou a ouvrir des fichiers multimedias malveillants.
L'exploitation peut se faire entierement automatiquement, ce qui rend tres difficile pour les utilisateurs de reconnaître l'appareil qui est attaque.
Dolby a declare que dans les cas enregistres, cette erreur a principalement entraîne la suspension ou le redemarrage automatique des applications multimedias, et aucun signe d'exploitation a grande echelle n'a ete detecte.
Cependant, CERT-In avertit les utilisateurs de ne pas etre subjectifs, car de telles failles sont souvent rapidement exploitees par les pirates informatiques apres la publication des informations techniques.
Pour minimiser les risques, CERT-In recommande aux utilisateurs de verifier la mise a jour via la section d'installation du systeme et d'installer immediatement la derniere version du logiciel fournie par le fabricant.
Dans le meme temps, les utilisateurs doivent activer le mode de mise a jour automatique pour s'assurer que les correctifs de securite importants sont installes a temps a l'avenir.
