Stagefright : encore un correctif pour le poil à gratter d’Android

MobilitéOS mobilesSécurité
android-stagefright-patch
3 1

Dans le cadre de son bulletin mensuel de sécurité, Google diffuse à nouveau un correctif associé à la faille Stagefright.

La menace Stagefright reste prégnante dans l’univers Android.

Il en est régulièrement question dans les vagues mensuelles de correctifs de sécurité que Google diffuse pour son OS mobile, sur le même modèle que le Patch Tuesday de Microsoft.

Pas d’exception ce mois-ci, tout comme en mars.

En neuf patchs (le premier ayant été diffusé en août 2015), c’est la sixième fois que des brèches sont colmatées dans libstagefright, cette bibliothèque logicielle qui assure le décodage et la lecture de fichiers multimédias.

Après les failles CVE-2015-3824, CVE-2015-6620 ou encore CVE-2016-0824, c’est au tour de la CVE-2016-0842 d’être résorbée.

Dévoilée à Google en novembre dernier, elle permet, via un fichier spécifiquement conçu, de corrompre la mémoire et d’exécuter, via le processus mediaserver, du code injecté à distance.

C’est une variante de la faille « originelle » qui avait agité l’univers Android à l’été 2015 et qui consistait à envoyer un MMS piégé.

Face au risque, Google a pris plusieurs mesures, dont la désactivation, sur Hangouts et l’application SMS/MMS, de l’analyse automatique des fichiers (« parsing ») avant leur ouverture.

Au reste du menu de cette fournée d’avril, pas moins de 38 failles, dont 14 critiques, qui touchent, pour la plupart, l’ensemble des versions d’Android encore prises en charge.

On en relève notamment 7 dans mediaserver (de CVE-2016-0835 à CVE-2016-0843). Mais aussi deux dans DHCPCD (Dynamic Host Configuration Protocol), service qui dispose de privilèges élevés.

Le noyau d’Android n’est pas épargné, avec deux failles qui peuvent entraîner une élévation de privilèges et l’exécution de code par une application tierce. Le pilote radio de Qualcomm est également touché, au même titre que le module de gestion des performances pour les processeurs du fabricant américain de semi-conducteurs.

Avec les failles considérées d’une importance haute ou modérée, on vise large : gestionnaire de téléchargements, Bluetooth, pilotes Texas Instruments, Exchange ActiveSync, assistant de paramétrage, Wi-Fi…

Les terminaux Nexus peuvent dès à présent bénéficier de la mise à jour. Pour les autres, cela dépendra de la réactivité des constructeurs et des opérateurs, sachant que le contenu du patch leur a été dévoilé au plus tard le 16 mars 2016.

Crédit photo : kirill_makarov – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur