Pour avril, le bulletin de sécurité de Google dédié à Android comptabilise 89 failles. Elles bénéficient d'un correctif, que les constructeurs doivent désormais pousser auprès de leurs clients.

La nouvelle édition du bulletin mensuel de sécurité pour Android a été publiée. Et une fois encore, la pêche a été bonne : en ce début du mois d’avril 2019, c’est un total de 89 vulnérabilités qui sont traitées dans le correctif logiciel du système d’exploitation mobile de Google.

Un record a même été établi pour ce début d’année, car les trois bulletins précédents comptaient environ deux fois moins de failles. La grande majorité concerne en fait des composants fournis par l’équipementier Qualcomm. Pas moins de 29 portent sur son service de réseau sans fil (WLAN HOST), tandis que 44 autres ont été relevées dans d’autres pièces conçues par l’entreprise américaine.

89 failles comptabilisées

En termes de criticité, Google a classé 79 de ces failles dans la catégorie « haute » et les 10 dernières dans celle des brèches « critiques ». La firme de Mountain View fait savoir que les partenaires Android « sont informés de tous les incidents au moins un mois avant leur publication ». Toutefois, la disponibilité du patch dépend du calendrier de mise à jour propre à chaque constructeur de smartphones.

Pour déterminer la gravité d’une brèche, Google se base sur « l’effet que l’exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les mesures d’atténuation de la plateforme et du service soient désactivées à des fins de développement ou parce qu’elles ont été contournées avec succès  ». Outre les deux niveaux décrits plus haut, il y a aussi un niveau modéré.

Pas d’indication qu’elles sont utilisées

D’après Google, certaines de ces failles peuvent entraîner une élévation injustifiée de privilèges dans le système d’exploitation, ce qui permet de donner à un tiers un accès à certaines portions de l’OS normalement inaccessibles. D’autres peuvent exposer des informations sensibles, ou servir à contrôler secrètement le smartphone à distance.

Bien que nombreuses et graves, ces failles ne sont a priori pas exploitées par des tiers malveillants. Google déclare en tout cas n’avoir aucun élément permettant d’aller dans ce sens. Cela étant, il convient de ne pas attendre que ces brèches soient utilisées : les fabricants « sont encouragés à corriger tous les problèmes dans ce bulletin et à utiliser le dernier niveau de correctif de sécurité », déclare ainsi Google.

Partager sur les réseaux sociaux