Un an déjà pour le « Nexus Security Bulletin ».
En août 2015, Google lançait cette initiative qui consiste à diffuser, à fréquence mensuelle sur le modèle du Patch Tuesday de Microsoft, un ensemble de correctifs à destination des terminaux Android.
Depuis le mois dernier, ce n’est plus un, mais deux bulletins qui sont publiés. Le premier regroupe des correctifs « généraux » applicables à un grand nombre d’appareils. Le second, émis à quelques jours d’intervalle, se concentre sur des éléments plus spécifiques comme les pilotes et les API.
Les Nexus vendus en marque blanche par Google bénéficient systématiquement du deuxième patch, qui parvient aux utilisateurs en OTA (mise à jour « Over-the-air ») ou qui peut être installé via les images système mises à disposition. Pour les autres, c’est aux constructeurs – auxquels le contenu du patch a été dévoilé au plus tard le 6 juillet – de juger du plus pertinent*.
Le bulletin « général » du mois d’août est disponible depuis ce lundi. Il colmate 22 failles.
Trois d’entre elles (CVE-2016-3819, CVE-2016-3820 et CVE-2016-3821) sont classées critiques : elles peuvent permettre à un tiers d’exécuter du code à distance en corrompant la mémoire. Le point faible se trouve au niveau du processus Mediaserver, qui dispose de privilèges particuliers pour lire des contenus multimédias, essentiellement dans les MMS et dans les navigateurs Web.
Une dizaine de vulnérabilités sont d’une « haute » importance. Elles concernent libjhead (exécution distante de code arbitraire via les applications qui exploitent cette bibliothèque ; CVE-2016-3822), l’horloge système (élévation de privilèges pouvant entraîner un déni de service temporaire ; CVE-2016-3831)… et encore une fois Mediaserver (CVE-2016-3823 à 3826 pour l’élévation de privilèges ; CVE-2016-3827 à 3830 pour le DoS).
On aura aussi repéré plusieurs failles susceptibles d’occasionner la fuite de données, que ce soit dans OpenSSL, dans le serveur d’affichage SurfaceFlinger ou dans le gestionnaire Wi-Fi.
Le patch du 5 août élimine plus de 80 failles. Celles classées critiques concernent notamment des composants Qualcomm parmi lesquels le chargeur d’amorçage (bootloader) et plusieurs pilotes (audio, vidéo, réseau, appareil photo). Dans certains cas, un appareil peut se retrouver bloqué, sans possibilité de le redémarrer.
Comme en juillet, Nvidia et MediaTek sont eux aussi concernés. Mais dans une moindre mesure ; en l’occurrence par quelques failles de « haute » importance.
Selon le tableau officiel de Google, les Nexus 6 et Nexus 9 bénéficieront encore de correctifs au moins jusqu’en octobre. Les plus récents Nexus 5X et 6P en auront au minimum jusqu’à septembre 2017.
* Certains ont tranché et ouvertement annoncé leur intention de ne pas s’aligner sur un rythme mensuel de publication. C’est le cas de Motorola, qui estime qu’avec tous les tests nécessaires, il est impossible de suivre la cadence sur l’intégralité de son catalogue.
Crédit photo : Google
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
