Le premier bulletin de sécurité de l’année pour Android est corsé. Pas moins de 50 correctifs doivent corriger quelque 95 vulnérabilités. La plupart affectent les propres modèles de smartphones de Google, gammes Nexus et Pixel désormais.
Si 10 correctifs sont considérés comme critiques, il en est un qui semble plus « critical » que les autres aux yeux de l’éditeur. « Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l’exécution de code à distance sur un périphérique affecté par le biais de plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias », alerte Mountain View dans son bulletin. L’éditeur n’indique pas explicitement à quelle vulnérabilité se rapporte cette alerte.
Mais la CVE-2017-0381, qui référence un risque d’exécution à distance dans Mediaserver, pourrait être la vulnérabilité en question. Signalée le 29 novembre dernier sur Mitre, elle ne fait l’objet d’aucune description. Probablement pour éviter de fournir des informations capitales aux pirates avant sa correction effective. C’est également la seule faille critique du premier des deux bulletins que Google a publié en janvier.
Le premier, daté du 1er janvier (2017-01-01), corrige 23 vulnérabilités, toutes affectant exclusivement les smartphones de la filiale d’Alphabet. Le second, daté du 5 janvier (2017-01-05), englobe 9 bulletins critiques (pour 72 vulnérabilités) touchant les smartphones de Google comme ceux des autres constructeurs. La plupart concernent des risques d’élévation de privilèges depuis le sous-système de mémoire et les fichiers systèmes du noyau, ou depuis les pilotes des composants Qualcomm, Nvidia et Mediatek embarqués dans les téléphones.
Google recommande vivement aux utilisateurs d’appliquer l’ensemble de ces correctifs. Leur téléchargement peut se faire directement « par les airs » (OTA) pour les utilisateurs d’un appareil Nexus ou Pixel. Les autres sont à la merci des politiques de mises à jour des constructeurs et des opérateurs pour diffuser les correctifs.
Lire également
Android en tête des vulnérabilités de sécurité référencées en 2016
Le malware Gooligan terrorise des millions de terminaux Android
La faille Rowhammer assomme les smartphones Android
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…