Google diffuse un nouveau patch de sécurité qui colmate plusieurs brèches dans Android. Cette diffusion survient dans le cadre des correctifs que l'entreprise américaine diffuse chaque mois.

Google est désormais rôdé à l’exercice. Chaque mois, l’entreprise américaine diffuse une liste de correctifs pour Android, son système d’exploitation mobile. Pour le mois de mars, ce sont seize vulnérabilités qui ont été résolues, dont six qui sont jugées particulièrement sérieuses et huit autres qui sont identifiées comme graves. Les deux dernières présentent un risque modéré, selon Google.

Dans cette nouvelle vague de correctifs, on constate que Mediaserver continue d’être au cœur du patch note de Google (il figurait déjà dans la précédente livraison du mois de février). On remarque aussi des corrections pour Qualcomm, MediaTek, le noyau et divers autres composants de l’OS, mais aussi pour la bibliothèque Stagefright (libstagefright), qui a acquis une sinistre réputation l’an dernier.

RisqueCriticité
Exécution de code à distance dans MediaserverCritique
Exécution de code à distance dans libvpxCritique
Élévation des privilèges dans ConscryptCritique
Élévation des privilèges dans le module de performance de QualcommCritique
Élévation des privilèges dans le pilote Wi-Fi de MediaTekCritique
Élévation des privilèges dans le composant KeyringCritique
Contournement de la sécurité dans le noyauHaut
Élévation des privilèges dans le pilote de connectivité de MediaTekHaut
Divulgation de données dans le noyauHaut
Divulgation de données dans libstagefrightHaut
Divulgation de données dans WidevineHaut
Élévation des privilèges dans MediaserverHaut
Divulgation de données dans MediaserverHaut
Déni de service dans le BluetoothHaut
Divulgation de données dans la téléphonieModéré
Élévation des privilèges dans l’assistant de configurationModéré

Les versions d’Android concernées par ces brèches sont KitKat (4.4) ; Lollipop (5.0 et 5.1) et Marshmallow (6.0), c’est-à-dire les trois plus récentes moutures de la plateforme. Ceux possédant un terminal Nexus pourront obtenir très rapidement la mise à jour requise, soit en flashant leur smartphone ou leur tablette (en prenant soin au préalable de sauvegarder leurs données), soit en attendant la mise à niveau classique.

Quant aux autres utilisateurs, tout dépendra de la vitesse avec laquelle les constructeurs diffuseront ces correctifs. Hélas, l’histoire a montré que les fabricants ne font pas toujours preuve d’un zèle particulier pour diffuser les mises à jour de sécurité, obligeant les usagers à attendre plusieurs jours, semaines voire mois. Et l’on ne parle même pas des produits qui pourraient être oubliés, car jugés trop anciens.

Partager sur les réseaux sociaux

La suite en vidéo