Pour gérer vos consentements :

Faille Stagefright d’Android : le patch de Google est troué

Selon la firme de sécurité Exodus Intelligence, le patch que propose Google pour protéger 950 millions de terminaux Android de la faille Stagefright (CVE-2015-3824) est incomplet. Même après son application, la vulnérabilité reste exploitable. Google a été averti de l’inefficacité du premier patch de Stagefright le 7 août ; le problème a été étiqueté sous un nouvel identifiant (CVE-2015-3864).

Le géant de l’Internet assure avoir déjà envoyé un nouveau correctif à ses partenaires. Les utilisateurs des terminaux Nexus de la firme bénéficieront de ce correctif dans le cadre de la mise à jour mensuelle qu’a récemment décidée de mettre en place le géant de l’Internet. Les autres devront s’en remettre à leur opérateur (Samsung et LG se sont engagés à leur fournir des updates réguliers) ou appliquer le patch par eux-mêmes.

« L’histoire est loin d’être terminée »

L’insuffisance du premier patch a été mise en évidence par Jordan Gruskovnjak, chercheur en sécurité chez Exodus, dont les conclusions sont détaillés dans un billet de blog. Il a réussi à concevoir un exploit qui parvient à déjouer les défenses d’un Nexus 5 patché. Le fondateur d’Exodus, Aaron Portnoy, précise que l’exploit du chercheur de sa société repose sur la même vulnérabilité que celle exploitée à l’origine, « aussi sévère qu’au premier jour où elle été mise au jour ». Le chercheur d’Exodus s’est contenté d’utiliser d’autres valeurs pour parvenir à la corruption de la mémoire. Sur Threatpost, Joshua Drake, l’expert de la société Zimperium qui a le premier mis en évidence la faille Stagefright, explique « selon des sources publiques, bien d’autres problèmes ont été découverts depuis que j’ai dévoilé les bogues dans le processus MPEG-4. J’espère que nous verrons des correctifs sortir régulièrement pour le code de Stagefright (une librairie utilisée notamment par Android pour lire différents formats de vidéo, NDLR) dans les mois qui viennent. L’histoire est loin d’être terminée. »

Signalée à Google dès avril dernier, la faille Stagefright a été dévoilée au grand jour fin juillet et présentée en détails lors de la dernière Black Hat, début août. Cette vulnérabilité permet, via l’envoi d’un MMS conçu sur mesure ou d’un message Hangouts, d’exécuter du code à distance sur un smartphone. Sans intervention de la victime. Les versions d’Android anciennes sont les plus vulnérables (2.2 « Froyo », 2.3 « Gingerbread », 4.0 « Ice Cream Sandwich »), car elles ne bénéficient pas des couches de protection adéquates. Mais les systèmes plus récents – dont Android 5.1.1 « Lollipop » – ne sont pas totalement épargnés

A lire aussi :

Une faille Android permet de remplacer une application légitime par une autre
Certifi-gate, la faille qui ouvre les portes d’Android
Android, un OS mobile sacrément fragmenté

Recent Posts

Noyau Linux : Rust fusionné demain (ou presque)

Le support Rust for Linux pourrait être prêt pour la version 5.20 du noyau Linux,…

3 jours ago

Cloud et sécurité : les référentiels-clés selon le Clusif

Le Clusif a listé 23 référentiels pour traiter le sujet de la sécurité dans le…

3 jours ago

Tech : une équité salariale contrariée

Malgré des avancées, la diversification des embauches et l'équité salariale progressent lentement dans les technologies…

3 jours ago

Assurance cyber : le marché français en 9 chiffres

Primes, capacités, franchises, indemnisations... Coup de projecteur sur quelques aspects du marché français de l'assurance…

3 jours ago

CodeWhisperer : AWS a aussi son « IA qui code »

Dans la lignée du passage de GitHub Copilot en phase commerciale, CodeWhisperer, son concurrent made…

3 jours ago

Zscaler met plus d’intelligence dans la sécurité Zero Trust

Zscaler renforce les capacités d'intelligence artificielle de sa plateforme de sécurité Zero Trust Exchange, de…

4 jours ago