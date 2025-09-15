Si vous utilisez un smartphone ou une tablette Samsung, sachez qu'une faille de sécurité zero-day déjà exploitée par les cybercriminels a été patchée. Où se situe cette vulnérabilité ? Quels sont les risques ? Voici ce que l'on sait.

Samsung et la CVE-2025-21043

La vulnérabilité, associée à la référence CVE-2025-21043 (score CVSS de 8.8 sur 10), a été identifiée dans libimagecodec.quram.so , une bibliothèque propriétaire développée par Quramsoft, conçue pour prendre en charge différents formats d'images sur les appareils Samsung. Cette faiblesse de type "out-of-bounds write" (écriture hors limites) pourrait permettre à un attaquant d'envoyer un fichier image malveillant et de forcer l'exécution de code arbitraire sur l'appareil de la victime.

Cette faille de sécurité a été rapportée aux oreilles de Samsung le 13 août 2025, par les équipes de Meta et WhatsApp. D'ailleurs, ce sont les équipes de Meta qui ont découvert que cette vulnérabilité était déjà exploitée dans des attaques ciblées.

Il s'avère que ces attaques concernent des utilisateurs de WhatsApp équipés de smartphones Samsung. Mais, une question reste sans réponse : les autres applications de messagerie instantanée qui s'appuient sur cette bibliothèque sont-elles vulnérables ? Le bulletin de sécurité de Samsung ne permet pas de répondre à cette question, mais il est fort probable que ce soit le cas.

Il est à noter que la CVE-2025-21043 affecte les smartphones équipés d'Android 13 ou une version supérieure (Android 14, 15 et 16). Pour rappel, cette version a été publiée le 15 août 2022, et les suivantes encore plus récemment, dont elles sont largement répandues sur les modèles récents (smartphones et tablettes).

Apple aussi a eu le droit à cette faille de sécurité

La découverte de cette faille de sécurité par les équipes de Meta s'inscrit dans un travail de recherche plus large. En effet, en parallèle, Apple a également dû corriger une faille de sécurité zero-day liée à la gestion des images : CVE-2025-43300. Cette faille exploitée au sein d'attaques extrêmement sophistiquées a été patchée en août 2025 sur les systèmes iOS et macOS.

Désormais, les utilisateurs d'appareils Samsung vont pouvoir bénéficier d'un patch dans le cadre de la mise à jour de sécurité de septembre 2025 (SMR Sep-2025 Release 1). Les utilisateurs de smartphones et tablettes Samsung sous Android 13 ou une version ultérieure sont invités à appliquer la mise à jour quand elle sera disponible.

