Google est désormais rôdé à l’exercice. Chaque mois, l’entreprise américaine diffuse une liste de correctifs pour Android, son système d’exploitation mobile. Pour le mois de mars, ce sont seize vulnérabilités qui ont été résolues, dont six qui sont jugées particulièrement sérieuses et huit autres qui sont identifiées comme graves. Les deux dernières présentent un risque modéré, selon Google.
Dans cette nouvelle vague de correctifs, on constate que Mediaserver continue d’être au cœur du patch note de Google (il figurait déjà dans la précédente livraison du mois de février). On remarque aussi des corrections pour Qualcomm, MediaTek, le noyau et divers autres composants de l’OS, mais aussi pour la bibliothèque Stagefright (libstagefright), qui a acquis une sinistre réputation l’an dernier.
Risque | Criticité |
Exécution de code à distance dans Mediaserver | Critique |
Exécution de code à distance dans libvpx | Critique |
Élévation des privilèges dans Conscrypt | Critique |
Élévation des privilèges dans le module de performance de Qualcomm | Critique |
Élévation des privilèges dans le pilote Wi-Fi de MediaTek | Critique |
Élévation des privilèges dans le composant Keyring | Critique |
Contournement de la sécurité dans le noyau | Haut |
Élévation des privilèges dans le pilote de connectivité de MediaTek | Haut |
Divulgation de données dans le noyau | Haut |
Divulgation de données dans libstagefright | Haut |
Divulgation de données dans Widevine | Haut |
Élévation des privilèges dans Mediaserver | Haut |
Divulgation de données dans Mediaserver | Haut |
Déni de service dans le Bluetooth | Haut |
Divulgation de données dans la téléphonie | Modéré |
Élévation des privilèges dans l’assistant de configuration | Modéré |
Les versions d’Android concernées par ces brèches sont KitKat (4.4); Lollipop (5.0 et 5.1) et Marshmallow (6.0), c’est-à-dire les trois plus récentes moutures de la plateforme. Ceux possédant un terminal Nexus pourront obtenir très rapidement la mise à jour requise, soit en flashant leur smartphone ou leur tablette (en prenant soin au préalable de sauvegarder leurs données), soit en attendant la mise à niveau classique.
Quant aux autres utilisateurs, tout dépendra de la vitesse avec laquelle les constructeurs diffuseront ces correctifs. Hélas, l’histoire a montré que les fabricants ne font pas toujours preuve d’un zèle particulier pour diffuser les mises à jour de sécurité, obligeant les usagers à attendre plusieurs jours, semaines voire mois. Et l’on ne parle même pas des produits qui pourraient être oubliés, car jugés trop anciens.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !