Stagefright : un deuxième correctif pour combler la faille
Google s’en reprend à deux fois pour corriger la faille Stagefright sur les terminaux Android. Le premier correctif diffusé se révèle insuffisant.
Le correctif que Google propose pour protéger 950 millions de terminaux Android de la faille Stagefright (CVE-2015-3824) est incomplet.
C’est le constat établi par Exodus Intelligence.
Averti par la firme de sécurité du fait que la vulnérabilité restait exploitable même après application du patch, le groupe Internet américain a ouvert un nouveau ticket (CVE-2015-3864) le 7 août dernier… et développé un correctif de substitution.
Les utilisateurs d’appareils Nexus – vendus en marque blanche par Google – en bénéficieront dans le cadre du programme de mise à jour mensuelle récemment mis en place. Les autres devront s’en remettre à leur opérateurs (Samsung et LG se sont engagés à fournir des updates réguliers) ou opter pour un déploiement « à la main ».
L’insuffisance du premier patch a été mise en évidence par le dénommé Jordan Gruskovnjak.
Ce chercheur chez Exodus Intelligence assure que la démonstration qu’il a réalisée avec un smartphone Nexus 5 repose sur la même vulnérabilité que celle exploitée à l’origine : il a simplement utilisé d’autres valeurs pour corrompre la mémoire.
Premier à avoir mis la brèche en évidence au mois d’avril, son confrère Joshua Drake estime que « l’histoire est loin d’être terminée ».
« Selon des sources publiques, bien d’autres problèmes ont été découverts depuis que j’ai dévoilé les bogues dans le processus MPEG-4 », explique-t-il. Et d’ajouter : « J’espère que nous verrons des correctifs sortir régulièrement pour le code de Stagefright ».
Stagefright, c’est cette bibliothèque logicielle qui gère, sur Android, la lecture de plusieurs formats de fichiers vidéo. Elle présente une faille qui peut permettre l’exécution distante de code malveillant sur un smartphone, par l’envoi d’un MMS ou d’un message Hangouts conçu sur mesure.
Les versions d’Android anciennes sont les plus vulnérables (2.2 « Froyo », 2.3 « Gingerbread », 4.0 « Ice Cream Sandwich »), car elles ne bénéficient pas des couches de protection adéquates. Mais les systèmes plus récents – dont Android 5.1.1 « Lollipop » – ne sont pas totalement épargnés, comme le note Silicon.fr.
Crédit photo : Pavel Ignatov – Shutterstock.com