Pour gérer vos consentements :

Sécurité Android : pas de trêve estivale pour les failles critiques

Un an déjà pour le « Nexus Security Bulletin ».

En août 2015, Google lançait cette initiative qui consiste à diffuser, à fréquence mensuelle sur le modèle du Patch Tuesday de Microsoft, un ensemble de correctifs à destination des terminaux Android.

Depuis le mois dernier, ce n’est plus un, mais deux bulletins qui sont publiés. Le premier regroupe des correctifs « généraux » applicables à un grand nombre d’appareils. Le second, émis à quelques jours d’intervalle, se concentre sur des éléments plus spécifiques comme les pilotes et les API.

Les Nexus vendus en marque blanche par Google bénéficient systématiquement du deuxième patch, qui parvient aux utilisateurs en OTA (mise à jour « Over-the-air ») ou qui peut être installé via les images système mises à disposition. Pour les autres, c’est aux constructeurs – auxquels le contenu du patch a été dévoilé au plus tard le 6 juillet – de juger du plus pertinent*.

L’épine Mediaserver

Le bulletin « général » du mois d’août est disponible depuis ce lundi. Il colmate 22 failles.

Trois d’entre elles (CVE-2016-3819, CVE-2016-3820 et CVE-2016-3821) sont classées critiques : elles peuvent permettre à un tiers d’exécuter du code à distance en corrompant la mémoire. Le point faible se trouve au niveau du processus Mediaserver, qui dispose de privilèges particuliers pour lire des contenus multimédias, essentiellement dans les MMS et dans les navigateurs Web.

Une dizaine de vulnérabilités sont d’une « haute » importance. Elles concernent libjhead (exécution distante de code arbitraire via les applications qui exploitent cette bibliothèque ; CVE-2016-3822), l’horloge système (élévation de privilèges pouvant entraîner un déni de service temporaire ; CVE-2016-3831)… et encore une fois Mediaserver (CVE-2016-3823 à 3826 pour l’élévation de privilèges ; CVE-2016-3827 à 3830 pour le DoS).

On aura aussi repéré plusieurs failles susceptibles d’occasionner la fuite de données, que ce soit dans OpenSSL, dans le serveur d’affichage SurfaceFlinger ou dans le gestionnaire Wi-Fi.

Des pilotes sous contrôle ?

Le patch du 5 août élimine plus de 80 failles. Celles classées critiques concernent notamment des composants Qualcomm parmi lesquels le chargeur d’amorçage (bootloader) et plusieurs pilotes (audio, vidéo, réseau, appareil photo). Dans certains cas, un appareil peut se retrouver bloqué, sans possibilité de le redémarrer.

Comme en juillet, Nvidia et MediaTek sont eux aussi concernés. Mais dans une moindre mesure ; en l’occurrence par quelques failles de « haute » importance.

Selon le tableau officiel de Google, les Nexus 6 et Nexus 9 bénéficieront encore de correctifs au moins jusqu’en octobre. Les plus récents Nexus 5X et 6P en auront au minimum jusqu’à septembre 2017.

* Certains ont tranché et ouvertement annoncé leur intention de ne pas s’aligner sur un rythme mensuel de publication. C’est le cas de Motorola, qui estime qu’avec tous les tests nécessaires, il est impossible de suivre la cadence sur l’intégralité de son catalogue.

Crédit photo : Google

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

6 heures ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago