Pour gérer vos consentements :

Google corrige 95 vulnérabilités Android dont 10 critiques

Le premier bulletin de sécurité de l’année pour Android est corsé. Pas moins de 50 correctifs doivent corriger quelque 95 vulnérabilités. La plupart affectent les propres modèles de smartphones de Google, gammes Nexus et Pixel désormais.

Un bulletin plus critique que les autres

Si 10 correctifs sont considérés comme critiques, il en est un qui semble plus « critical » que les autres aux yeux de l’éditeur. « Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l’exécution de code à distance sur un périphérique affecté par le biais de plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias », alerte Mountain View dans son bulletin. L’éditeur n’indique pas explicitement à quelle vulnérabilité se rapporte cette alerte.

Mais la CVE-2017-0381, qui référence un risque d’exécution à distance dans Mediaserver, pourrait être la vulnérabilité en question. Signalée le 29 novembre dernier sur Mitre, elle ne fait l’objet d’aucune description. Probablement pour éviter de fournir des informations capitales aux pirates avant sa correction effective. C’est également la seule faille critique du premier des deux bulletins que Google a publié en janvier.

Risques d’élévation de privilèges

Le premier, daté du 1er janvier (2017-01-01), corrige 23 vulnérabilités, toutes affectant exclusivement les smartphones de la filiale d’Alphabet. Le second, daté du 5 janvier (2017-01-05), englobe 9 bulletins critiques (pour 72 vulnérabilités) touchant les smartphones de Google comme ceux des autres constructeurs. La plupart concernent des risques d’élévation de privilèges depuis le sous-système de mémoire et les fichiers systèmes du noyau, ou depuis les pilotes des composants Qualcomm, Nvidia et Mediatek embarqués dans les téléphones.

Google recommande vivement aux utilisateurs d’appliquer l’ensemble de ces correctifs. Leur téléchargement peut se faire directement « par les airs » (OTA) pour les utilisateurs d’un appareil Nexus ou Pixel. Les autres sont à la merci des politiques de mises à jour des constructeurs et des opérateurs pour diffuser les correctifs.

Alexander Supertramp – shutterstock

Lire également
Android en tête des vulnérabilités de sécurité référencées en 2016
Le malware Gooligan terrorise des millions de terminaux Android
La faille Rowhammer assomme les smartphones Android

crédit photo : Kaktus621 via Attribution Engine. Licensed under CC BY-NC-SA

Recent Posts

Transition numérique : une solide croissance à deux chiffres

Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…

7 heures ago

Classement Forbes : 20 milliardaires de la Tech

De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…

12 heures ago

Dix pistes d’action pour sécuriser l’open source

Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…

13 heures ago

Twitter : Elon Musk joue les équilibristes

Après avoir annoncé la suspension de l'accord pour le rachat de Twitter, Elon Musk s'est…

3 jours ago

Cybersécurité : CyberArk crée un fonds doté de 30 millions $

Financer une nouvelle génération de start-up des technologies de cybersécurité, c'est l'objectif affiché par CyberArk…

3 jours ago

Silicon Day Workplace : quelle Digital Workplace à l’heure du travail hybride ?

Silicon.fr vous invite à Silicon Day Workplace, une journée dédiée aux enjeux de la Digital…

3 jours ago