La menace Stagefright reste prégnante dans l’univers Android.
Il en est régulièrement question dans les vagues mensuelles de correctifs de sécurité que Google diffuse pour son OS mobile, sur le même modèle que le Patch Tuesday de Microsoft.
Pas d’exception ce mois-ci, tout comme en mars.
En neuf patchs (le premier ayant été diffusé en août 2015), c’est la sixième fois que des brèches sont colmatées dans libstagefright, cette bibliothèque logicielle qui assure le décodage et la lecture de fichiers multimédias.
Après les failles CVE-2015-3824, CVE-2015-6620 ou encore CVE-2016-0824, c’est au tour de la CVE-2016-0842 d’être résorbée.
Dévoilée à Google en novembre dernier, elle permet, via un fichier spécifiquement conçu, de corrompre la mémoire et d’exécuter, via le processus mediaserver, du code injecté à distance.
C’est une variante de la faille « originelle » qui avait agité l’univers Android à l’été 2015 et qui consistait à envoyer un MMS piégé.
Face au risque, Google a pris plusieurs mesures, dont la désactivation, sur Hangouts et l’application SMS/MMS, de l’analyse automatique des fichiers (« parsing ») avant leur ouverture.
Au reste du menu de cette fournée d’avril, pas moins de 38 failles, dont 14 critiques, qui touchent, pour la plupart, l’ensemble des versions d’Android encore prises en charge.
On en relève notamment 7 dans mediaserver (de CVE-2016-0835 à CVE-2016-0843). Mais aussi deux dans DHCPCD (Dynamic Host Configuration Protocol), service qui dispose de privilèges élevés.
Le noyau d’Android n’est pas épargné, avec deux failles qui peuvent entraîner une élévation de privilèges et l’exécution de code par une application tierce. Le pilote radio de Qualcomm est également touché, au même titre que le module de gestion des performances pour les processeurs du fabricant américain de semi-conducteurs.
Avec les failles considérées d’une importance haute ou modérée, on vise large : gestionnaire de téléchargements, Bluetooth, pilotes Texas Instruments, Exchange ActiveSync, assistant de paramétrage, Wi-Fi…
Les terminaux Nexus peuvent dès à présent bénéficier de la mise à jour. Pour les autres, cela dépendra de la réactivité des constructeurs et des opérateurs, sachant que le contenu du patch leur a été dévoilé au plus tard le 16 mars 2016.
Crédit photo : kirill_makarov – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…