Google dévoile un nouveau correctif de sécurité pour Android qui concerne 41 vulnérabilités.

C’est en 2021 que l’on aura des nouvelles de la prochaine grande version d’Android, que Google présentera au cours des mois à venir. En attendant, les mises à jour mensuelles du système d’exploitation mobile se poursuivront. D’ailleurs, le nouveau bulletin de sécurité pour le mois de janvier vient d’être publié en début de semaine par la firme de Mountain View, offrant ainsi un aperçu des correctifs à venir.

Au menu de cette rentrée, on dénombre pas moins de 41 vulnérabilités. Elles ne sont pas toutes logées à la même enseigne : la grande majorité de ces brèches (36) sont qualifiées de « sérieuses » dans le document transmis par Google, c’est-à-dire le deuxième niveau le plus élevé sur une échelle de gravité qui en compte trois. Le reste se partage entre 4 failles jugées « critiques » et une « modérée ».

Google diffuse chaque mois un nouveau patch pour Android contenant quelques dizaines de correctifs de sécurité. // Source : Google

Divers critères entrent en ligne de compte pour objectiver la dangerosité d’une faiblesse logicielle : par exemple, faut-il avoir un accès physique au terminal ou bien l’attaque peut-elle être conduite à distance ? Ou bien encore le piratage nécessite des prérequis dans le système pris pour cible ou peut-il se déclencher immédiatement ? Selon les réponses, une note est attribuée : plus elle est élevée, plus grand est le risque.

Selon Google, le plus grave de ces problèmes est une faille de sécurité critique située dans le composant Système. La brèche pourrait permettre à un attaquant situé à distance et utilisant une transmission spécialement conçue pour cela d’exécuter un code malveillant en profitant de privilèges particuliers. La bonne nouvelle, vu les conditions requises, est qu’il ne paraît pas évident de pouvoir exploiter cette vulnérabilité.

Pas d’exploitation malveillante mentionnée

D’ailleurs, l’entreprise américaine n’évoque pas dans son bulletin si cette faille ou bien une autre fait actuellement l’objet d’une utilisation malveillante. L’absence d’une telle indication suggère que ce n’est pas le cas. En outre, si le contraire advenait, on peut penser que Google ne suivrait pas son planning habituel et diffuserait au plus vite un correctif, hors du cycle courant de mise à jour.

La mise à jour cible les smartphones équipés des quatre dernières versions d’Android (8, 9, 10 et 11), qui sont respectivement sorties en 2017, 2018, 2019 et 2020. Toutes les failles ne concernent pas toutes les branches d’Android. Certaines par exemple sont exclusives à la 11, qui est disponible depuis décembre dernier. C’est d’ailleurs le cas de trois vulnérabilités ayant trait au même composant (Framework) dans Android.

En ce qui concerne les mobinautes, il faudra patienter quelques semaines avant de voir la couleur de correctif. La vitesse de déploiement d’un patch dépend de chaque fabricant de smartphones, qui ont tous leur propre calendrier. Pour ne rien arranger, les modèles au sein d’un même constructeur ne partent pas sur la même ligne de départ : certains sont servis avant, comme les fleurons de la marque.

Partager sur les réseaux sociaux

La suite en vidéo