Nvidia, Qualcomm, MediaTek… Ils sont tous au rendez-vous du bulletin de sécurité mensuel que Google diffuse pour son OS Android.
La fournée de juillet résorbe pas moins de 75 failles, dont une douzaine regroupées au sein de 7 correctifs considérés comme « critiques ».
Les terminaux Nexus peuvent dès à présent bénéficier de la mise à jour, soit en OTA, soit en installant les images système mises à disposition. Pour les autres, cela dépendra de la réactivité des constructeurs et des opérateurs, auxquels le contenu du patch a été dévoilé au plus tard le 5 juin dernier.
On notera, ce mois-ci, l’absence de Mediaserver, du nom de cette composante affectée par la vulnérabilité Stagefright, exploitable pour corrompre la mémoire – et injecter du code à distance – via un fichier multimédia malveillant diffusé par le Web ou dans un MMS piégé.
Les correctifs concernent, pour l’essentiel, des pilotes fournis par les principaux fabricants de semi-conducteurs. À commencer par le pilote GPU de Qualcomm sur les smartphones Nexus 5X, 6 et 6P. Il abrite deux failles (CVE-2016-2053 et CVE-2016-2067) qui peuvent occasionner une élévation de privilèges et l’exécution de code tiers avec, à la clé, un éventuel blocage du terminal.
Même tarif pour le pilote Wi-Fi que MediaTek intègre dans les téléphones associés au programme Android One (CVE-2016-3767), le pilote graphique Nvidia de la tablette Nexus 9 (CVE-2016-3769) ou encore le pilote USB d’Android (Nexus 5X, 6, 6P, 7 2013, 9, Player, Pixel C).
Dans la catégorie critique, on trouve aussi une brochette de brèches dans les pilotes MediaTek – autres que le Wi-Fi – sur les téléphones Android One et un souci au niveau du système de fichiers, qui expose lui aussi à une éventuelle attaque par élévation de privilèges.
Concernant les correctifs dits « importants », on a droit à un pack qui colmate 31 failles dans divers composants Qualcomm : le chargeur d’amorçage, le pilote de l’appareil photo, la couche réseau, les drivers audio et vidéo, etc. Des vulnérabilités signalées entre le 6 février 2014 et le 30 décembre 2015.
Quelques-unes des brèches résorbées peuvent entraîner des fuites de données, par exemple dans le composant réseau (tous Nexus).
Crédit photo : kirill_makarov – Shutterstock.com
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…