Sécurité IT : Android fait dans la faille critique

Pas moins de 44 failles qui touchent, pour la plupart, l’ensemble des versions d’Android encore prises en charge : Google corrige large dans le dernier bulletin de sécurité diffusé pour son OS mobile.

Les terminaux Nexus peuvent dès à présent bénéficier de la mise à jour, soit en OTA, soit en installant les images système mises à disposition. Pour les autres, cela dépendra de la réactivité des constructeurs et des opérateurs, auxquels le contenu du patch a été dévoilé au plus tard le 2 avril dernier.

Tout n’est pas encore résolu concernant la composante mediaserver, affectée par la vulnérabilité StageFright.

Elle fait à nouveau l’objet d’un correctif portant sur deux failles (CVE-2016-2428 et CVE-2016-2429) qui peuvent permettre, via un fichier multimédia spécifiquement conçu et diffusé soit par le Web, soit par un MMS piégé, de corrompre la mémoire et d’exécuter du code injecté à distance.

Deux autres failles jugées critiques (CVE-2016-2431 et CVE-2016-2432) ont été découvertes dans la technologie TrustZone associée aux puces Qualcomm et censée améliorer la sécurité des terminaux Android par un mécanisme de cloisonnement. Elle affecte les Nexus 5, 6 et 7 (2013), ainsi que l’ensemble des produits liés à l’initiative Android One.

Qualcomm a également des soucis avec son pilote Wi-Fi sur les Nexus 5X et 7 (2013). Du côté de Nvidia, c’est un pilote graphique installé sur la Nexus 9 qui pose problème, avec quatre failles critiques au compteur, activables en local via une application malveillante et pouvant entraîner une élévation de privilèges.

Même sanction avec les vulnérabilités CVE-2016-2430 et CVE-2015-1805, respectivement logées dans Debuggerd… et dans le noyau Android.

Pour le reste, Google recense 19 failles de « haute importance » touchant au sous-système audio, au contrôleur modem, au Bluetooth, au pilote Wi-Fi MediaTek ou encore à OpenSSL.

Crédit photo : kirill_makarov – Shutterstock.com