Le correctif que Google propose pour protéger 950 millions de terminaux Android de la faille Stagefright (CVE-2015-3824) est incomplet.
C’est le constat établi par Exodus Intelligence.
Averti par la firme de sécurité du fait que la vulnérabilité restait exploitable même après application du patch, le groupe Internet américain a ouvert un nouveau ticket (CVE-2015-3864) le 7 août dernier… et développé un correctif de substitution.
Les utilisateurs d’appareils Nexus – vendus en marque blanche par Google – en bénéficieront dans le cadre du programme de mise à jour mensuelle récemment mis en place. Les autres devront s’en remettre à leur opérateurs (Samsung et LG se sont engagés à fournir des updates réguliers) ou opter pour un déploiement « à la main ».
L’insuffisance du premier patch a été mise en évidence par le dénommé Jordan Gruskovnjak.
Ce chercheur chez Exodus Intelligence assure que la démonstration qu’il a réalisée avec un smartphone Nexus 5 repose sur la même vulnérabilité que celle exploitée à l’origine : il a simplement utilisé d’autres valeurs pour corrompre la mémoire.
Premier à avoir mis la brèche en évidence au mois d’avril, son confrère Joshua Drake estime que « l’histoire est loin d’être terminée ».
« Selon des sources publiques, bien d’autres problèmes ont été découverts depuis que j’ai dévoilé les bogues dans le processus MPEG-4 », explique-t-il. Et d’ajouter : « J’espère que nous verrons des correctifs sortir régulièrement pour le code de Stagefright ».
Stagefright, c’est cette bibliothèque logicielle qui gère, sur Android, la lecture de plusieurs formats de fichiers vidéo. Elle présente une faille qui peut permettre l’exécution distante de code malveillant sur un smartphone, par l’envoi d’un MMS ou d’un message Hangouts conçu sur mesure.
Les versions d’Android anciennes sont les plus vulnérables (2.2 « Froyo », 2.3 « Gingerbread », 4.0 « Ice Cream Sandwich »), car elles ne bénéficient pas des couches de protection adéquates. Mais les systèmes plus récents – dont Android 5.1.1 « Lollipop » – ne sont pas totalement épargnés, comme le note Silicon.fr.
Crédit photo : Pavel Ignatov – Shutterstock.com
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…