La menace Stagefright reste prégnante dans l’univers Android.
Il en est régulièrement question dans les vagues mensuelles de correctifs de sécurité que Google diffuse pour son OS mobile, sur le même modèle que le Patch Tuesday de Microsoft.
Pas d’exception ce mois-ci, tout comme en mars.
En neuf patchs (le premier ayant été diffusé en août 2015), c’est la sixième fois que des brèches sont colmatées dans libstagefright, cette bibliothèque logicielle qui assure le décodage et la lecture de fichiers multimédias.
Après les failles CVE-2015-3824, CVE-2015-6620 ou encore CVE-2016-0824, c’est au tour de la CVE-2016-0842 d’être résorbée.
Dévoilée à Google en novembre dernier, elle permet, via un fichier spécifiquement conçu, de corrompre la mémoire et d’exécuter, via le processus mediaserver, du code injecté à distance.
C’est une variante de la faille « originelle » qui avait agité l’univers Android à l’été 2015 et qui consistait à envoyer un MMS piégé.
Face au risque, Google a pris plusieurs mesures, dont la désactivation, sur Hangouts et l’application SMS/MMS, de l’analyse automatique des fichiers (« parsing ») avant leur ouverture.
Au reste du menu de cette fournée d’avril, pas moins de 38 failles, dont 14 critiques, qui touchent, pour la plupart, l’ensemble des versions d’Android encore prises en charge.
On en relève notamment 7 dans mediaserver (de CVE-2016-0835 à CVE-2016-0843). Mais aussi deux dans DHCPCD (Dynamic Host Configuration Protocol), service qui dispose de privilèges élevés.
Le noyau d’Android n’est pas épargné, avec deux failles qui peuvent entraîner une élévation de privilèges et l’exécution de code par une application tierce. Le pilote radio de Qualcomm est également touché, au même titre que le module de gestion des performances pour les processeurs du fabricant américain de semi-conducteurs.
Avec les failles considérées d’une importance haute ou modérée, on vise large : gestionnaire de téléchargements, Bluetooth, pilotes Texas Instruments, Exchange ActiveSync, assistant de paramétrage, Wi-Fi…
Les terminaux Nexus peuvent dès à présent bénéficier de la mise à jour. Pour les autres, cela dépendra de la réactivité des constructeurs et des opérateurs, sachant que le contenu du patch leur a été dévoilé au plus tard le 16 mars 2016.
Crédit photo : kirill_makarov – Shutterstock.com
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…