Google est désormais rôdé à l’exercice. Chaque mois, l’entreprise américaine diffuse une liste de correctifs pour Android, son système d’exploitation mobile. Pour le mois de mars, ce sont seize vulnérabilités qui ont été résolues, dont six qui sont jugées particulièrement sérieuses et huit autres qui sont identifiées comme graves. Les deux dernières présentent un risque modéré, selon Google.
Dans cette nouvelle vague de correctifs, on constate que Mediaserver continue d’être au cœur du patch note de Google (il figurait déjà dans la précédente livraison du mois de février). On remarque aussi des corrections pour Qualcomm, MediaTek, le noyau et divers autres composants de l’OS, mais aussi pour la bibliothèque Stagefright (libstagefright), qui a acquis une sinistre réputation l’an dernier.
| Risque | Criticité |
| Exécution de code à distance dans Mediaserver | Critique |
| Exécution de code à distance dans libvpx | Critique |
| Élévation des privilèges dans Conscrypt | Critique |
| Élévation des privilèges dans le module de performance de Qualcomm | Critique |
| Élévation des privilèges dans le pilote Wi-Fi de MediaTek | Critique |
| Élévation des privilèges dans le composant Keyring | Critique |
| Contournement de la sécurité dans le noyau | Haut |
| Élévation des privilèges dans le pilote de connectivité de MediaTek | Haut |
| Divulgation de données dans le noyau | Haut |
| Divulgation de données dans libstagefright | Haut |
| Divulgation de données dans Widevine | Haut |
| Élévation des privilèges dans Mediaserver | Haut |
| Divulgation de données dans Mediaserver | Haut |
| Déni de service dans le Bluetooth | Haut |
| Divulgation de données dans la téléphonie | Modéré |
| Élévation des privilèges dans l’assistant de configuration | Modéré |
Les versions d’Android concernées par ces brèches sont KitKat (4.4); Lollipop (5.0 et 5.1) et Marshmallow (6.0), c’est-à-dire les trois plus récentes moutures de la plateforme. Ceux possédant un terminal Nexus pourront obtenir très rapidement la mise à jour requise, soit en flashant leur smartphone ou leur tablette (en prenant soin au préalable de sauvegarder leurs données), soit en attendant la mise à niveau classique.
Quant aux autres utilisateurs, tout dépendra de la vitesse avec laquelle les constructeurs diffuseront ces correctifs. Hélas, l’histoire a montré que les fabricants ne font pas toujours preuve d’un zèle particulier pour diffuser les mises à jour de sécurité, obligeant les usagers à attendre plusieurs jours, semaines voire mois. Et l’on ne parle même pas des produits qui pourraient être oubliés, car jugés trop anciens.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
