Sécurité Android : pas de trêve estivale pour les failles critiques
Première bougie pour un Nexus Security Bulletin qui gagne en lisibilité avec une réorganisation en deux branches… et toujours des correctifs critiques.
Un an déjà pour le « Nexus Security Bulletin ».
En août 2015, Google lançait cette initiative qui consiste à diffuser, à fréquence mensuelle sur le modèle du Patch Tuesday de Microsoft, un ensemble de correctifs à destination des terminaux Android.
Depuis le mois dernier, ce n’est plus un, mais deux bulletins qui sont publiés. Le premier regroupe des correctifs « généraux » applicables à un grand nombre d’appareils. Le second, émis à quelques jours d’intervalle, se concentre sur des éléments plus spécifiques comme les pilotes et les API.
Les Nexus vendus en marque blanche par Google bénéficient systématiquement du deuxième patch, qui parvient aux utilisateurs en OTA (mise à jour « Over-the-air ») ou qui peut être installé via les images système mises à disposition. Pour les autres, c’est aux constructeurs – auxquels le contenu du patch a été dévoilé au plus tard le 6 juillet – de juger du plus pertinent*.
L’épine Mediaserver
Le bulletin « général » du mois d’août est disponible depuis ce lundi. Il colmate 22 failles.
Trois d’entre elles (CVE-2016-3819, CVE-2016-3820 et CVE-2016-3821) sont classées critiques : elles peuvent permettre à un tiers d’exécuter du code à distance en corrompant la mémoire. Le point faible se trouve au niveau du processus Mediaserver, qui dispose de privilèges particuliers pour lire des contenus multimédias, essentiellement dans les MMS et dans les navigateurs Web.
Une dizaine de vulnérabilités sont d’une « haute » importance. Elles concernent libjhead (exécution distante de code arbitraire via les applications qui exploitent cette bibliothèque ; CVE-2016-3822), l’horloge système (élévation de privilèges pouvant entraîner un déni de service temporaire ; CVE-2016-3831)… et encore une fois Mediaserver (CVE-2016-3823 à 3826 pour l’élévation de privilèges ; CVE-2016-3827 à 3830 pour le DoS).
On aura aussi repéré plusieurs failles susceptibles d’occasionner la fuite de données, que ce soit dans OpenSSL, dans le serveur d’affichage SurfaceFlinger ou dans le gestionnaire Wi-Fi.
Des pilotes sous contrôle ?
Le patch du 5 août élimine plus de 80 failles. Celles classées critiques concernent notamment des composants Qualcomm parmi lesquels le chargeur d’amorçage (bootloader) et plusieurs pilotes (audio, vidéo, réseau, appareil photo). Dans certains cas, un appareil peut se retrouver bloqué, sans possibilité de le redémarrer.
Comme en juillet, Nvidia et MediaTek sont eux aussi concernés. Mais dans une moindre mesure ; en l’occurrence par quelques failles de « haute » importance.
Selon le tableau officiel de Google, les Nexus 6 et Nexus 9 bénéficieront encore de correctifs au moins jusqu’en octobre. Les plus récents Nexus 5X et 6P en auront au minimum jusqu’à septembre 2017.
* Certains ont tranché et ouvertement annoncé leur intention de ne pas s’aligner sur un rythme mensuel de publication. C’est le cas de Motorola, qui estime qu’avec tous les tests nécessaires, il est impossible de suivre la cadence sur l’intégralité de son catalogue.
Crédit photo : Google