Google annonce la résolution de 44 failles pour le système d'exploitation Android. Les correctifs sont livrés avec le patch de décembre, qui sera progressivement mis à disposition du public.

Ce sera le dernier patch de cette année pour Android. Google a présenté le 3 décembre le contenu de son nouveau bulletin de sécurité, qui décrit les types de vulnérabilités que son correctif va résoudre. En tout, ce sont 44 failles qui sont traitées, dont la moitié concerne des composants fournis par l’équipementier américain Qualcomm. Le détail du bulletin est consultable à cette adresse.

Comme toujours, la disponibilité du patch dépendra de la stratégie de déploiement de chaque constructeur de smartphones. Certaines marques se débrouillent mieux que d’autres, observe FrAndroid : Google, évidemment, fait la course en tête, du fait de sa position dans l’écosystème Android. OnePlus, Samsung ou encore HTC sont aussi bien placés dans le positionnement d’AOSMark.

Dans le détail, Google liste 3 bugs modérés (dont le point commun est de ne toucher que Android 10), 35 défauts de conception graves et 6 failles critiques. Outre Android 10, les correctifs profitent aux branches 8.0 et 9.0. La vulnérabilité la plus dangereuse «  pourrait permettre à un attaquant distant utilisant un message spécialement conçu de provoquer un déni de service permanent ».

Le Google Pixel 4 fait partie des premiers smartphones à bénéficier du correctif. // Source : Louise Audry pour Numerama

Les constructeurs alertés en amont

Pour déterminer la gravité d’une faille, Google évalue « l’effet que l’exploitation de la vulnérabilité pourrait avoir  » sur un smartphone. L’entreprise tient aussi compte de la présence ou l’absence de mesures d’atténuation, si elles ont été désactivées ou bien contournées. La dangerosité des failles est hiérarchisée : le rang critique est le plus élevé. Viennent ensuite les seuils haut et modéré.

Parmi les autres types de risques induits par ces failles figurent l’élévation injustifiée de privilèges (ce qui permet d’accéder à des zones sensibles d’Android, et normalement inaccessibles), il y a :

  • la prise de contrôle à distance d’un smartphone,
  • la récupération de données personnelles à l’insu de son propriétaire
  • ou encore le dysfonctionnement du smartphone.

La firme de Mountain View rappelle que ses partenaires industriels qui utilisent Android ont été avertis au moins un mois avant la parution de ce compte-rendu, en principe pour qu’ils aient assez de temps pour prendre toutes les dispositions qui s’avéreraient nécessaires pour protéger leurs clients de. Malheureusement, un décalage de plusieurs semaines peut parfois être observé. Quand ce n’est pas plus.

Partager sur les réseaux sociaux