Android : Google corrige une centaine de failles

Le par  |  15 commentaire(s)
Android-cible

Quelque 108 vulnérabilités référencées dans la mise à jour de sécurité mensuelle d'Android prodiguée par Google. Plus des trois quarts sont en rapport avec des pilotes pour des composants matériels.

La mise à jour de juillet d'Android est atypique. Sur le bilan comptable, c'est la plus copieuse à ce jour avec un total de 108 vulnérabilités de sécurité mais elle est divisée en deux lots : 33 failles dont 8 critiques pour les composants d'Android, et 75 failles dont 12 critiques pour des pilotes spécifiques de divers fabricants.

Android-NougatMediaserver avait été au centre des vulnérabilités Stagefright à la suite desquelles les mises à jour mensuelles ont vu le jour. Sans surprise, ce composant utilisé pour le traitement du contenu multimédia est une nouvelle fois concerné par des patchs critiques. Dans Android Nougat, le bloc Mediaserer actuel sera éclaté pour limiter l'accès à des autorisations et ressources avec une seule compromission.

Une autre vulnérabilité critique comblée est en rapport avec OpenSSL et BoringSSL. BoringSSL est un fork de la bibliothèque logicielle de chiffrement OpenSSL créé par Google pour répondre spécifiquement aux besoins d'Android ou encore de Chrome.

Dans le deuxième lot, les rustines critiques concernent pour l'essentiel des pilotes fournis par Qualcomm (GPU et autres), MediaTek (Wi-Fi), Nvidia ou encore pour le pilote USB. À chaque fois, il est question de vulnérabilités de type élévation de privilèges mais de tels pilotes sont chargés dans le noyau.

On rappellera par ailleurs que Qualcomm a récemment été pointé du doigt pour un problème " d'affaiblissement " de la robustesse du chiffrement d'un appareil avec Android (face à des attaques).

Google encourage tous les utilisateurs à accepter les mises à jour de sécurité… en tout cas si elles arrivent sur leurs appareils. La division en deux lots a été voulue pour offrir aux partenaires Android une plus grande flexibilité et afin qu'ils corrigent plus rapidement des vulnérabilités qui sont similaires pour tous les appareils.

Les primes aux chercheurs en sécurité tiers, qui découvrent et rapportent des vulnérabilités Android, ont récemment été revues à la hausse. Il n'est donc pas interdit de penser que le nombre de failles à combler continuera de prendre de l'embonpoint.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1909191
108 d'un coup (mais en 2 fois) beau travail les gars
Le #1909196
C'est bon si les constructeurs mettent à jour ...
Le #1909200
Impressionnant le nombre de failles qu'il y avait avant ce patch
Le #1909204
Safirion a écrit :

Impressionnant le nombre de failles qu'il y avait avant ce patch


et il y en a encore beaucoup plus à corriger, ils ne font que les plus grosses, et celles qui sont connues
Le #1909206
Safirion a écrit :

Impressionnant le nombre de failles qu'il y avait avant ce patch


Je préfère que le patch soit gros plutôt qu'il ne contienne que 5 failles
Le #1909211
C'est uniquement valable pour les Nexus?
Comment on fait pour récupérer le patch et de l'appliquer à un autre smartphone?
Le #1909213
iFlo59 a écrit :

C'est uniquement valable pour les Nexus?
Comment on fait pour récupérer le patch et de l'appliquer à un autre smartphone?


Le patch est transmis aux constructeurs, à eu de le déployer dans leurs roms respectives. Ca prend du temps à cause des surcouches ...
Le #1909218
skynet a écrit :

iFlo59 a écrit :

C'est uniquement valable pour les Nexus?
Comment on fait pour récupérer le patch et de l'appliquer à un autre smartphone?


Le patch est transmis aux constructeurs, à eu de le déployer dans leurs roms respectives. Ca prend du temps à cause des surcouches ...


Justement, y a un moyen de s'en passer?
Par exemple de télécharger un APK de mise à jour?
Le #1909245
108 !


Peace.
Le #1909252
C'est marrant !

Si c'était Microsoft, y'en a bien quelques-un qui auraient critiqué et qui nous auraient dit qu'ils n'installent pas les MàJ !


Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]