Google diffuse un nouveau patch de sécurité qui colmate plusieurs brèches dans Android. Cette diffusion survient dans le cadre des correctifs que l'entreprise américaine diffuse chaque mois.

Google est désormais rôdé à l’exercice. Chaque mois, l’entreprise américaine diffuse une liste de correctifs pour Android, son système d’exploitation mobile. Pour le mois de mars, ce sont seize vulnérabilités qui ont été résolues, dont six qui sont jugées particulièrement sérieuses et huit autres qui sont identifiées comme graves. Les deux dernières présentent un risque modéré, selon Google.

Dans cette nouvelle vague de correctifs, on constate que Mediaserver continue d’être au cœur du patch note de Google (il figurait déjà dans la précédente livraison du mois de février). On remarque aussi des corrections pour Qualcomm, MediaTek, le noyau et divers autres composants de l’OS, mais aussi pour la bibliothèque Stagefright (libstagefright), qui a acquis une sinistre réputation l’an dernier.

Risque Criticité
Exécution de code à distance dans Mediaserver Critique
Exécution de code à distance dans libvpx Critique
Élévation des privilèges dans Conscrypt Critique
Élévation des privilèges dans le module de performance de Qualcomm Critique
Élévation des privilèges dans le pilote Wi-Fi de MediaTek Critique
Élévation des privilèges dans le composant Keyring Critique
Contournement de la sécurité dans le noyau Haut
Élévation des privilèges dans le pilote de connectivité de MediaTek Haut
Divulgation de données dans le noyau Haut
Divulgation de données dans libstagefright Haut
Divulgation de données dans Widevine Haut
Élévation des privilèges dans Mediaserver Haut
Divulgation de données dans Mediaserver Haut
Déni de service dans le Bluetooth Haut
Divulgation de données dans la téléphonie Modéré
Élévation des privilèges dans l’assistant de configuration Modéré

Les versions d’Android concernées par ces brèches sont KitKat (4.4) ; Lollipop (5.0 et 5.1) et Marshmallow (6.0), c’est-à-dire les trois plus récentes moutures de la plateforme. Ceux possédant un terminal Nexus pourront obtenir très rapidement la mise à jour requise, soit en flashant leur smartphone ou leur tablette (en prenant soin au préalable de sauvegarder leurs données), soit en attendant la mise à niveau classique.

Quant aux autres utilisateurs, tout dépendra de la vitesse avec laquelle les constructeurs diffuseront ces correctifs. Hélas, l’histoire a montré que les fabricants ne font pas toujours preuve d’un zèle particulier pour diffuser les mises à jour de sécurité, obligeant les usagers à attendre plusieurs jours, semaines voire mois. Et l’on ne parle même pas des produits qui pourraient être oubliés, car jugés trop anciens.

Partager sur les réseaux sociaux

Articles liés