Qui a dit que les bulletins de sécurité devaient forcément mentionner des dizaines de vulnérabilités ? Certainement pas Google ! La preuve : le géant du net vient de publier l’édition du mois d’octobre de son rapport mensuel consacré aux brèches identifiées dans Android. En comparaison des précédentes publications, la synthèse effectuée par la firme de Mountain View est relativement courte.
Le bulletin ne recense en effet que 14 failles de sécurité. C’est peu. Le mois précédent, le groupe américain en avait relevé six fois plus. Faut-il y voir le signe que l’OS Android est de moins en moins exposé ? C’est aller un peu vite en besogne : de fait, la situation va en s’améliorant, puisque Google prend les dispositions adéquates pour régler le cas des brèches qu’on lui remonte.
Peu de failles corrigées pour ce mois d’octobre
Hélas pour l’entreprise, la sécurité informatique est une lutte permanente qui ne peut jamais être gagnée une fois pour toutes, celle-ci étant constamment actualisée par les incessants changements qui sont apportés à Android — comme l’ajout de telle ou telle fonctionnalité — et qui font surgir, de fait, de nouvelles surfaces d’attaque dont Google doit tenir compte.
Pour le mois d’octobre, nous avons donc 14 vulnérabilités : 5 sont jugées critiques, les autres sont des brèches graves (7) ou modérées (2). La moitié entraîne une élévation de privilèges dans Android, les autres peuvent être exploitées pour exécuter du code malveillant à distance (5) ou pour provoquer une divulgation d’information (2) sur des données sensibles.
Google précise que ces soucis se trouvaient dans des composants du noyau, ainsi que dans ceux fournis par Qualcomm et MediaTek (pilotes du système sur puce, boot Linux, sous-système réseau, système de fichiers). De problèmes ont aussi été relevés dans le système d’exploitation et des éléments liés à Android (Framework et Media Framework).
« Le plus grave de ces soucis est une vulnérabilité critique dans le Media Framework qui pourrait permettre à un attaquant distant utilisant un fichier spécialement conçu pour exécuter du code arbitraire dans le contexte d’un processus privilégié. […] Nous n’avons reçu aucun rapport faisant état d’une exploitation active ou d’un abus au moyen de ces nouveaux problèmes », commente Google.
La mise à jour sera poussée dès que possible pour les terminaux Nexus (5X, 6, 6P, 9 et Player) et Pixel (Pixel, XL et C). Elle est peut-être déjà proposée à certains propriétaires. Pour le vérifier, il faut se rendre dans les réglages du terminal, puis aller dans l’état du téléphone et de cliquer sur « mises à jour du système ». En Wi-Fi ou en 4G, il ne faut qu’une poignée de secondes pour récupérer le patch.
Ceux et celles qui possèdent un smartphone d’une autre marque devront se référer à la politique de mise à jour de leur constructeur.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
