Le correctif que Google propose pour protéger 950 millions de terminaux Android de la faille Stagefright (CVE-2015-3824) est incomplet.
C’est le constat établi par Exodus Intelligence.
Averti par la firme de sécurité du fait que la vulnérabilité restait exploitable même après application du patch, le groupe Internet américain a ouvert un nouveau ticket (CVE-2015-3864) le 7 août dernier… et développé un correctif de substitution.
Les utilisateurs d’appareils Nexus – vendus en marque blanche par Google – en bénéficieront dans le cadre du programme de mise à jour mensuelle récemment mis en place. Les autres devront s’en remettre à leur opérateurs (Samsung et LG se sont engagés à fournir des updates réguliers) ou opter pour un déploiement « à la main ».
L’insuffisance du premier patch a été mise en évidence par le dénommé Jordan Gruskovnjak.
Ce chercheur chez Exodus Intelligence assure que la démonstration qu’il a réalisée avec un smartphone Nexus 5 repose sur la même vulnérabilité que celle exploitée à l’origine : il a simplement utilisé d’autres valeurs pour corrompre la mémoire.
Premier à avoir mis la brèche en évidence au mois d’avril, son confrère Joshua Drake estime que « l’histoire est loin d’être terminée ».
« Selon des sources publiques, bien d’autres problèmes ont été découverts depuis que j’ai dévoilé les bogues dans le processus MPEG-4 », explique-t-il. Et d’ajouter : « J’espère que nous verrons des correctifs sortir régulièrement pour le code de Stagefright ».
Stagefright, c’est cette bibliothèque logicielle qui gère, sur Android, la lecture de plusieurs formats de fichiers vidéo. Elle présente une faille qui peut permettre l’exécution distante de code malveillant sur un smartphone, par l’envoi d’un MMS ou d’un message Hangouts conçu sur mesure.
Les versions d’Android anciennes sont les plus vulnérables (2.2 « Froyo », 2.3 « Gingerbread », 4.0 « Ice Cream Sandwich »), car elles ne bénéficient pas des couches de protection adéquates. Mais les systèmes plus récents – dont Android 5.1.1 « Lollipop » – ne sont pas totalement épargnés, comme le note Silicon.fr.
Crédit photo : Pavel Ignatov – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…