Le premier bulletin de sécurité de l’année pour Android est corsé. Pas moins de 50 correctifs doivent corriger quelque 95 vulnérabilités. La plupart affectent les propres modèles de smartphones de Google, gammes Nexus et Pixel désormais.
Si 10 correctifs sont considérés comme critiques, il en est un qui semble plus « critical » que les autres aux yeux de l’éditeur. « Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l’exécution de code à distance sur un périphérique affecté par le biais de plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias », alerte Mountain View dans son bulletin. L’éditeur n’indique pas explicitement à quelle vulnérabilité se rapporte cette alerte.
Mais la CVE-2017-0381, qui référence un risque d’exécution à distance dans Mediaserver, pourrait être la vulnérabilité en question. Signalée le 29 novembre dernier sur Mitre, elle ne fait l’objet d’aucune description. Probablement pour éviter de fournir des informations capitales aux pirates avant sa correction effective. C’est également la seule faille critique du premier des deux bulletins que Google a publié en janvier.
Le premier, daté du 1er janvier (2017-01-01), corrige 23 vulnérabilités, toutes affectant exclusivement les smartphones de la filiale d’Alphabet. Le second, daté du 5 janvier (2017-01-05), englobe 9 bulletins critiques (pour 72 vulnérabilités) touchant les smartphones de Google comme ceux des autres constructeurs. La plupart concernent des risques d’élévation de privilèges depuis le sous-système de mémoire et les fichiers systèmes du noyau, ou depuis les pilotes des composants Qualcomm, Nvidia et Mediatek embarqués dans les téléphones.
Google recommande vivement aux utilisateurs d’appliquer l’ensemble de ces correctifs. Leur téléchargement peut se faire directement « par les airs » (OTA) pour les utilisateurs d’un appareil Nexus ou Pixel. Les autres sont à la merci des politiques de mises à jour des constructeurs et des opérateurs pour diffuser les correctifs.
Lire également
Android en tête des vulnérabilités de sécurité référencées en 2016
Le malware Gooligan terrorise des millions de terminaux Android
La faille Rowhammer assomme les smartphones Android
Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…
De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…
Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…
Après avoir annoncé la suspension de l'accord pour le rachat de Twitter, Elon Musk s'est…
Financer une nouvelle génération de start-up des technologies de cybersécurité, c'est l'objectif affiché par CyberArk…
Silicon.fr vous invite à Silicon Day Workplace, une journée dédiée aux enjeux de la Digital…