Nouveau mois, nouveau patch note. Google annonce un correctif pour 32 failles en novembre.

Voilà un peu plus de deux mois que la nouvelle version d’Android a été publiée par Google. Et les correctifs de sécurité se succèdent. Après une première fournée en octobre, la firme de Mountain View remet le couvert en novembre. Le bulletin de sécurité mentionne un total de 32 vulnérabilités, dont la quasi-totalité est jugée sérieuse voire critique. Une seule en fait est qualifiée de modérée.

Comme le mois précédent, Google remarque que la faille la plus dangereuse figure « dans le composant Système [et] pourrait permettre à un attaquant à proximité utilisant une transmission spécialement conçue » pour exécuter du code malveillant, si certaines conditions préalables sont satisfaites. Dans les faits, une telle attaque nécessite de toute évidence d’importants efforts pour la lancer.

Android 11
Android 11 est l’une des versions du système d’exploitation de Google à bénéficier des correctifs de novembre 2020.

Un correctif qui arrivera dans quelques semaines

Les correctifs, s’ils profitent à Android 11, bénéficient également aux autres moutures du système d’exploitation (Android 8, 8.1, 9 et 10). Ils concernent des éléments variés de l’OS, comme l’environnement d’exécution Runtime, le framework pour les API et le framework multimédia, mais aussi des composants fournis par des tiers, en l’espèce les fabricants de puces MediaTek et Qualcomm.

Pour établir le degré de risque que constitue une faille, Google tient compte d’une série de facteurs : quel effet aurait-elle si elle était exploitée ? Quel est l’effort que l’assaillant doit déployer pour s’en servir ? Doit-il être à proximité de sa cible ou bien peut-il se permettre d’agir à distance ? Les mesures d’atténuation sont-elles contournées ? Le smartphone est-il rendu inopérant ? Etc.

Google n’évoque pas d’exploitation active de l’une de ces vulnérabilités — le cas échéant, la firme de Mountain View aurait probablement sorti en urgence un patch dédié hors de son cycle habituel de mises à jour. Dans tous les cas, l’attitude la plus sage est d’installer le correctif dès qu’il sera disponible — c’est-à-dire dès que les fabricants smartphones le diffuse. Cela peut prendre plusieurs semaines.

Partager sur les réseaux sociaux

La suite en vidéo