Android N divise mediaserver pour éviter Stagefright

Le par  |  16 commentaire(s)
Stagefright

Pour contrecarrer les effets d'une nouvelle vulnérabilité Stagefright, Android N divise mediaserver et ses autorisations dans divers composants et bacs à sable.

Lors de l'été 2015, Zimperium a dévoilé l'existence dans le système d'exploitation mobile Android d'une vulnérabilité d'exécution de code à distance dite Stagefright en rapport avec la bibliothèque logicielle multimédia éponyme (libstagefright).

Des chercheurs en sécurité ont notamment démontré comment un message MMS spécialement conçu et envoyé à un numéro de téléphone peut permettre de compromettre un appareil via un fichier média, et ce à l'insu de l'utilisateur.

Le champ des possibilités ouvert par le bug - ou plutôt les bugs - Stagefright a eu un fort écho, et d'autant plus avec le problème de la fragmentation des versions d'Android pour apporter un correctif. Outre des patchs, cela a poussé Google à inaugurer des mises à jour de sécurité mensuelles. Mais tous les appareils ne les verront pas…

Les bugs Stagefright font encore parler d'eux avec pour coupable désigné la trop grande latitude de mediaserver qui est utilisé pour le traitement du contenu multimédia. Dans Android N, il a ainsi été décidé de diviser mediaserver et ses autorisations dans plusieurs composants et environnements de sandbox distincts, et en quelque sorte de lui donner moins de pouvoir " générique " sur le multimédia.

La manœuvre passe par une nouvelle architecture afin que l'obtention d'une exécution de code dans libstagefright ne puisse pas donner accès à toutes les autorisations et ressources disponibles dans un seul " bloc " mediaserver.

Android-N-mediaserver
" Dans Android N, libstagefright fonctionne dans la sandbox mediaserver avec un accès à très peu d'autorisations. […] La compromission de libstagefright offrira à l'attaquant un accès à beaucoup moins d'autorisations et atténuera également les élévations de privilèges en réduisant la surface d'attaque exposée par le kernel ", écrit l'équipe de sécurité Android.

Sur le blog Android Developers, des mesures préventives pour complexifier l'exploitation de problèmes de dépassement d'entier dans libstagefright sont également détaillées. Tout cela ne sera disponible que dans Android N.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1895354
C'est super ! une très bonne nouvelle
Le #1895357
Android N... J'ai même pas le M...
Le #1895363
Bonne initiative, enfin du proactif et pas seulement des rustines
Le #1895367
skynet a écrit :

Bonne initiative, enfin du proactif et pas seulement des rustines


Oui, c'est vrai qu'on peut souligner cet effort de leur part.

Mais bon, ça règle pas le problème de fragmentation...
Le #1895381
Safirion a écrit :

skynet a écrit :

Bonne initiative, enfin du proactif et pas seulement des rustines


Oui, c'est vrai qu'on peut souligner cet effort de leur part.

Mais bon, ça règle pas le problème de fragmentation...


Et c'est pas fini !
Quand je vois dans les camemberts qu'on a encore un pourcentage de version 2.3 qui tourne encore, en 2016
Le #1895388
skynet a écrit :

Safirion a écrit :

skynet a écrit :

Bonne initiative, enfin du proactif et pas seulement des rustines


Oui, c'est vrai qu'on peut souligner cet effort de leur part.

Mais bon, ça règle pas le problème de fragmentation...


Et c'est pas fini !
Quand je vois dans les camemberts qu'on a encore un pourcentage de version 2.3 qui tourne encore, en 2016


Ouais, c'est catastrophique...
Le #1895407
skynet a écrit :

Safirion a écrit :

skynet a écrit :

Bonne initiative, enfin du proactif et pas seulement des rustines


Oui, c'est vrai qu'on peut souligner cet effort de leur part.

Mais bon, ça règle pas le problème de fragmentation...


Et c'est pas fini !
Quand je vois dans les camemberts qu'on a encore un pourcentage de version 2.3 qui tourne encore, en 2016


Une horreur
Le #1895436
Safirion a écrit :

Android N... J'ai même pas le M...


Tu es avec quel appareil ? Perso je suis sous CM13
Le #1895449
Zenfone 2 Z551ML.
Mais j't'avoue que j'ai la flemme de le bidouiller pour installer CM13 pour l'instant... (D'autant plus qu'Asus va sortir la maj vers Marshmallow dans très peu de temps maintenant)
Le #1895458
Safirion a écrit :

Zenfone 2 Z551ML.
Mais j't'avoue que j'ai la flemme de le bidouiller pour installer CM13 pour l'instant... (D'autant plus qu'Asus va sortir la maj vers Marshmallow dans très peu de temps maintenant)


Marshmallow, la version d'Android, que je n'ai jamais tester.
Dommage
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]