Nvidia, Qualcomm, MediaTek… Ils sont tous au rendez-vous du bulletin de sécurité mensuel que Google diffuse pour son OS Android.
La fournée de juillet résorbe pas moins de 75 failles, dont une douzaine regroupées au sein de 7 correctifs considérés comme « critiques ».
Les terminaux Nexus peuvent dès à présent bénéficier de la mise à jour, soit en OTA, soit en installant les images système mises à disposition. Pour les autres, cela dépendra de la réactivité des constructeurs et des opérateurs, auxquels le contenu du patch a été dévoilé au plus tard le 5 juin dernier.
On notera, ce mois-ci, l’absence de Mediaserver, du nom de cette composante affectée par la vulnérabilité Stagefright, exploitable pour corrompre la mémoire – et injecter du code à distance – via un fichier multimédia malveillant diffusé par le Web ou dans un MMS piégé.
Les correctifs concernent, pour l’essentiel, des pilotes fournis par les principaux fabricants de semi-conducteurs. À commencer par le pilote GPU de Qualcomm sur les smartphones Nexus 5X, 6 et 6P. Il abrite deux failles (CVE-2016-2053 et CVE-2016-2067) qui peuvent occasionner une élévation de privilèges et l’exécution de code tiers avec, à la clé, un éventuel blocage du terminal.
Même tarif pour le pilote Wi-Fi que MediaTek intègre dans les téléphones associés au programme Android One (CVE-2016-3767), le pilote graphique Nvidia de la tablette Nexus 9 (CVE-2016-3769) ou encore le pilote USB d’Android (Nexus 5X, 6, 6P, 7 2013, 9, Player, Pixel C).
Dans la catégorie critique, on trouve aussi une brochette de brèches dans les pilotes MediaTek – autres que le Wi-Fi – sur les téléphones Android One et un souci au niveau du système de fichiers, qui expose lui aussi à une éventuelle attaque par élévation de privilèges.
Concernant les correctifs dits « importants », on a droit à un pack qui colmate 31 failles dans divers composants Qualcomm : le chargeur d’amorçage, le pilote de l’appareil photo, la couche réseau, les drivers audio et vidéo, etc. Des vulnérabilités signalées entre le 6 février 2014 et le 30 décembre 2015.
Quelques-unes des brèches résorbées peuvent entraîner des fuites de données, par exemple dans le composant réseau (tous Nexus).
Crédit photo : kirill_makarov – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…