Le correctif que Google propose pour protéger 950 millions de terminaux Android de la faille Stagefright (CVE-2015-3824) est incomplet.
C’est le constat établi par Exodus Intelligence.
Averti par la firme de sécurité du fait que la vulnérabilité restait exploitable même après application du patch, le groupe Internet américain a ouvert un nouveau ticket (CVE-2015-3864) le 7 août dernier… et développé un correctif de substitution.
Les utilisateurs d’appareils Nexus – vendus en marque blanche par Google – en bénéficieront dans le cadre du programme de mise à jour mensuelle récemment mis en place. Les autres devront s’en remettre à leur opérateurs (Samsung et LG se sont engagés à fournir des updates réguliers) ou opter pour un déploiement « à la main ».
L’insuffisance du premier patch a été mise en évidence par le dénommé Jordan Gruskovnjak.
Ce chercheur chez Exodus Intelligence assure que la démonstration qu’il a réalisée avec un smartphone Nexus 5 repose sur la même vulnérabilité que celle exploitée à l’origine : il a simplement utilisé d’autres valeurs pour corrompre la mémoire.
Premier à avoir mis la brèche en évidence au mois d’avril, son confrère Joshua Drake estime que « l’histoire est loin d’être terminée ».
« Selon des sources publiques, bien d’autres problèmes ont été découverts depuis que j’ai dévoilé les bogues dans le processus MPEG-4 », explique-t-il. Et d’ajouter : « J’espère que nous verrons des correctifs sortir régulièrement pour le code de Stagefright ».
Stagefright, c’est cette bibliothèque logicielle qui gère, sur Android, la lecture de plusieurs formats de fichiers vidéo. Elle présente une faille qui peut permettre l’exécution distante de code malveillant sur un smartphone, par l’envoi d’un MMS ou d’un message Hangouts conçu sur mesure.
Les versions d’Android anciennes sont les plus vulnérables (2.2 « Froyo », 2.3 « Gingerbread », 4.0 « Ice Cream Sandwich »), car elles ne bénéficient pas des couches de protection adéquates. Mais les systèmes plus récents – dont Android 5.1.1 « Lollipop » – ne sont pas totalement épargnés, comme le note Silicon.fr.
Crédit photo : Pavel Ignatov – Shutterstock.com
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…