Android : le patch de février ne traitera que de failles sérieuses ou critiques
Google vient de partager le 1er février le nouveau bulletin de sécurité pour Android, afin de présenter le contenu du prochain correctif qui sera diffusé sur les smartphones utilisant le système d'exploitation mobile, à partir de la version 8.1 (Oreo), sortie en décembre 2017.
44 failles traitées en février pour Android
La liste, qui concerne aussi bien les branches 8.1 (Oreo), 9 (Pie), 10 et 11 de l'O.S., contient 44 entrées et se répartit comme suit : 39 failles graves et 5 très sensibles. Elles affectent divers compartiments du système d'exploitation, dont l’environnement d’exécution Runtime, le framework multimédia, le noyau de l'OS, mais aussi des composants tiers qui sont fournis par l'équipementier américain Qualcomm.
« Le plus grave de ces problèmes est une faille de sécurité critique dans le composant Framework Media qui pourrait permettre à un attaquant distant utilisant un fichier spécialement conçu d'exécuter du code arbitraire dans le cadre d'un processus privilégié », commente la firme de Mountain View, qui ne fait pas état d'une éventuelle exploitation malveillante par un tiers, ce qui est bon signe.
La détermination du niveau de gravité d'une brèche est basée sur une pluralité de facteurs objectifs, qui s'intéressent aux moyens nécessaires pour l'exploiter, mais aussi aux effets qu'elle aurait sur le terminal d'une victime. En clair, quels sont les dégâts qu'il est possible de faire sur un smartphone et quelles sont les conditions requises pour le faire (accès à distance ou accès physique sur le mobile, par exemple) ?
La disponibilité du nouveau patch pour Android dépendra comme toujours de la politique propre à chaque fabricant de smartphones, puisque ce sont les constructeurs qui ont la main sur les mises à jour de leurs produits. Or en la matière, toutes les marques ne sont pas des modèles de célérité. Néanmoins dans un grand nombre de cas, c'est une affaire de semaines.