Le premier bulletin de sécurité de l’année pour Android est corsé. Pas moins de 50 correctifs doivent corriger quelque 95 vulnérabilités. La plupart affectent les propres modèles de smartphones de Google, gammes Nexus et Pixel désormais.
Si 10 correctifs sont considérés comme critiques, il en est un qui semble plus « critical » que les autres aux yeux de l’éditeur. « Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l’exécution de code à distance sur un périphérique affecté par le biais de plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias », alerte Mountain View dans son bulletin. L’éditeur n’indique pas explicitement à quelle vulnérabilité se rapporte cette alerte.
Mais la CVE-2017-0381, qui référence un risque d’exécution à distance dans Mediaserver, pourrait être la vulnérabilité en question. Signalée le 29 novembre dernier sur Mitre, elle ne fait l’objet d’aucune description. Probablement pour éviter de fournir des informations capitales aux pirates avant sa correction effective. C’est également la seule faille critique du premier des deux bulletins que Google a publié en janvier.
Le premier, daté du 1er janvier (2017-01-01), corrige 23 vulnérabilités, toutes affectant exclusivement les smartphones de la filiale d’Alphabet. Le second, daté du 5 janvier (2017-01-05), englobe 9 bulletins critiques (pour 72 vulnérabilités) touchant les smartphones de Google comme ceux des autres constructeurs. La plupart concernent des risques d’élévation de privilèges depuis le sous-système de mémoire et les fichiers systèmes du noyau, ou depuis les pilotes des composants Qualcomm, Nvidia et Mediatek embarqués dans les téléphones.
Google recommande vivement aux utilisateurs d’appliquer l’ensemble de ces correctifs. Leur téléchargement peut se faire directement « par les airs » (OTA) pour les utilisateurs d’un appareil Nexus ou Pixel. Les autres sont à la merci des politiques de mises à jour des constructeurs et des opérateurs pour diffuser les correctifs.
Lire également
Android en tête des vulnérabilités de sécurité référencées en 2016
Le malware Gooligan terrorise des millions de terminaux Android
La faille Rowhammer assomme les smartphones Android
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…