Google publie une nouvelle salve de correctifs de sécurité pour Android
Voilà un peu plus de deux mois que la nouvelle version d'Android a été publiée par Google.
Comme le mois précédent, Google remarque que la faille la plus dangereuse figure « dans le composant Système [et] pourrait permettre à un attaquant à proximité utilisant une transmission spécialement conçue » pour exécuter du code malveillant, si certaines conditions préalables sont satisfaites. Dans les faits, une telle attaque nécessite de toute évidence d'importants efforts pour la lancer.
Un correctif qui arrivera dans quelques semaines
Les correctifs, s'ils profitent à Android 11, bénéficient également aux autres moutures du système d'exploitation (Android 8, 8.1, 9 et 10). Ils concernent des éléments variés de l'OS, comme l’environnement d’exécution Runtime, le framework pour les API et le framework multimédia, mais aussi des composants fournis par des tiers, en l'espèce les fabricants de puces MediaTek et Qualcomm.
Pour établir le degré de risque que constitue une faille, Google tient compte d'une série de facteurs : quel effet aurait-elle si elle était exploitée ? Quel est l'effort que l'assaillant doit déployer pour s'en servir ? Doit-il être à proximité de sa cible ou bien peut-il se permettre d'agir à distance ? Les mesures d'atténuation sont-elles contournées ? Le smartphone est-il rendu inopérant ? Etc.
Google n'évoque pas d'exploitation active de l’une de ces vulnérabilités — le cas échéant, la firme de Mountain View aurait probablement sorti en urgence un patch dédié hors de son cycle habituel de mises à jour. Dans tous les cas, l’attitude la plus sage est d’installer le correctif dès qu'il sera disponible — c’est-à-dire dès que les fabricants smartphones le diffuse. Cela peut prendre plusieurs semaines.