Le premier bulletin de sécurité de l’année pour Android est corsé. Pas moins de 50 correctifs doivent corriger quelque 95 vulnérabilités. La plupart affectent les propres modèles de smartphones de Google, gammes Nexus et Pixel désormais.
Si 10 correctifs sont considérés comme critiques, il en est un qui semble plus « critical » que les autres aux yeux de l’éditeur. « Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l’exécution de code à distance sur un périphérique affecté par le biais de plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias », alerte Mountain View dans son bulletin. L’éditeur n’indique pas explicitement à quelle vulnérabilité se rapporte cette alerte.
Mais la CVE-2017-0381, qui référence un risque d’exécution à distance dans Mediaserver, pourrait être la vulnérabilité en question. Signalée le 29 novembre dernier sur Mitre, elle ne fait l’objet d’aucune description. Probablement pour éviter de fournir des informations capitales aux pirates avant sa correction effective. C’est également la seule faille critique du premier des deux bulletins que Google a publié en janvier.
Le premier, daté du 1er janvier (2017-01-01), corrige 23 vulnérabilités, toutes affectant exclusivement les smartphones de la filiale d’Alphabet. Le second, daté du 5 janvier (2017-01-05), englobe 9 bulletins critiques (pour 72 vulnérabilités) touchant les smartphones de Google comme ceux des autres constructeurs. La plupart concernent des risques d’élévation de privilèges depuis le sous-système de mémoire et les fichiers systèmes du noyau, ou depuis les pilotes des composants Qualcomm, Nvidia et Mediatek embarqués dans les téléphones.
Google recommande vivement aux utilisateurs d’appliquer l’ensemble de ces correctifs. Leur téléchargement peut se faire directement « par les airs » (OTA) pour les utilisateurs d’un appareil Nexus ou Pixel. Les autres sont à la merci des politiques de mises à jour des constructeurs et des opérateurs pour diffuser les correctifs.
Lire également
Android en tête des vulnérabilités de sécurité référencées en 2016
Le malware Gooligan terrorise des millions de terminaux Android
La faille Rowhammer assomme les smartphones Android
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…