Android : la sécurité par les pilotes ?
Le dernier bulletin mensuel de sécurité pour Android corrige des failles localisées essentiellement dans les pilotes Nvidia, MediaTek et Qualcomm.
Nvidia, Qualcomm, MediaTek… Ils sont tous au rendez-vous du bulletin de sécurité mensuel que Google diffuse pour son OS Android.
La fournée de juillet résorbe pas moins de 75 failles, dont une douzaine regroupées au sein de 7 correctifs considérés comme « critiques ».
Les terminaux Nexus peuvent dès à présent bénéficier de la mise à jour, soit en OTA, soit en installant les images système mises à disposition. Pour les autres, cela dépendra de la réactivité des constructeurs et des opérateurs, auxquels le contenu du patch a été dévoilé au plus tard le 5 juin dernier.
On notera, ce mois-ci, l’absence de Mediaserver, du nom de cette composante affectée par la vulnérabilité Stagefright, exploitable pour corrompre la mémoire – et injecter du code à distance – via un fichier multimédia malveillant diffusé par le Web ou dans un MMS piégé.
Trois de chute
Les correctifs concernent, pour l’essentiel, des pilotes fournis par les principaux fabricants de semi-conducteurs. À commencer par le pilote GPU de Qualcomm sur les smartphones Nexus 5X, 6 et 6P. Il abrite deux failles (CVE-2016-2053 et CVE-2016-2067) qui peuvent occasionner une élévation de privilèges et l’exécution de code tiers avec, à la clé, un éventuel blocage du terminal.
Même tarif pour le pilote Wi-Fi que MediaTek intègre dans les téléphones associés au programme Android One (CVE-2016-3767), le pilote graphique Nvidia de la tablette Nexus 9 (CVE-2016-3769) ou encore le pilote USB d’Android (Nexus 5X, 6, 6P, 7 2013, 9, Player, Pixel C).
Dans la catégorie critique, on trouve aussi une brochette de brèches dans les pilotes MediaTek – autres que le Wi-Fi – sur les téléphones Android One et un souci au niveau du système de fichiers, qui expose lui aussi à une éventuelle attaque par élévation de privilèges.
Concernant les correctifs dits « importants », on a droit à un pack qui colmate 31 failles dans divers composants Qualcomm : le chargeur d’amorçage, le pilote de l’appareil photo, la couche réseau, les drivers audio et vidéo, etc. Des vulnérabilités signalées entre le 6 février 2014 et le 30 décembre 2015.
Quelques-unes des brèches résorbées peuvent entraîner des fuites de données, par exemple dans le composant réseau (tous Nexus).
Crédit photo : kirill_makarov – Shutterstock.com