Google a préparé un patch de sécurité pour septembre. Il corrige 49 failles.

Ça y est : Android 10 est disponible pour le public depuis début septembre. Avec cette version, c’est la fin des noms de dessert que Google attribuait aux générations de son système d’exploitation mobile. C’est aussi le renouveau de l’identité de l’OS, et bien entendu l’arrivée de nouvelles fonctionnalités, comme les réponses intelligentes et la navigation par gestes.

Une chose qui ne change pas en revanche, c’est la traque des failles dans Android. Le 22 août, en amont de la publication d’Android 10, Google sortait un bulletin de sécurité dédié pour le moins fourni : on y dénombre 191 vulnérabilités, quoique leur criticité est jugée modérée (c’est le cran le plus bas de l’échelle qu’utilise Google). Rebelote quelques jours plus tard, avec un bulletin plus général sur Android.

Le nouveau design d’Android.

49 failles visées dans le patch de septembre

En tout, ce sont 49 brèches qui sont résolues avec le nouveau correctif. C’est certes presque quatre fois moins que le bulletin spécial émis à la fin du mois de septembre, mais le bilan est plus sérieux : dans le détail, on dénombre 45 failles au niveau haut (le cran d’alerte intermédiaire) et 4 au rang critique (le degré le plus grave). On notera au passage qu’une de chaque concerne Android 10 (AOSP 10).

Selon Google, une partie de ces failles peut entraîner une élévation injustifiée de privilèges, ce qui signifie qu’un tiers à distance est en mesure d’accéder des portions sensibles du système normalement inaccessibles. D’autres bugs peuvent compromettre des données personnelles ou sensibles, permettre de contrôler secrètement le smartphone à distance ou bien entraver son bon fonctionnement.

Le Samsung Galaxy Note 10 // Source : FrAndroid

Google rappelle que « l’évaluation de la gravité [d’une faille] est basée sur l’effet que l’exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les mesures d’atténuation de la plateforme et du service soient désactivées à des fins de développement ou parce qu’elles ont été contournées avec succès  », explique Google.

Pas d’exploitation connue à ce jour

D’après les radars de Google, il n’y a aucun signe qui permette de dire que l’une ou l’autre de ces vulnérabilités sont en ce moment exploitées par des tiers malveillants. Cela étant, il est conseillé de mettre à jour son smartphone dès que possible avec le patch de sécurité le plus récent. Évidemment, les mobinautes dépendent comme toujours des constructeurs, qui ont la main sur la sortie des mises à jour.

Google, bien sûr, invite les fabricants de terminaux à faire au plus vite pour proposer à leurs clients le tout dernier niveau de sécurité disponible, ceci afin d’éviter une quelconque utilisation malveillante de ces bugs. Mais en fait, cela pourrait prendre jusqu’à quelques mois, alors même que Google s’efforce d’alerter ses partenaires au moins un mois avant la publication de chaque bulletin de sécurité.

Partager sur les réseaux sociaux