0-day de Linux : Google relativise l'impact sur Android

Le par  |  19 commentaire(s)
Linux-Android

Alors que les patchs arrivent, Google - qui n'avait pas été mis dans la confidence - estime que peu de terminaux Android sont vulnérables en raison de la 0-day dans le noyau Linux découverte par Perception Point.

En début de semaine, Perception Point a dévoilé l'existence d'une vulnérabilité 0-day présente dans le noyau Linux et affectant des " dizaines de millions de PC et serveurs Linux " (32 et 64 bits), ainsi que " 66 % de tous les smartphones et tablettes Android. "

Présente au niveau du service keyrings facility, la faille semblait présenter un risque tout relatif avec des distributions Linux car assimilable à une vulnérabilité de type élévation de privilège en local. L'alerte était par contre plus problématique pour Android.

Comme l'équipe de sécurité Linux a été prévenue en amont de la divulgation par Perception Point, la correction de la vulnérabilité n'a pas traîné pour la plupart des distributions. Google a par contre un peu de mal à avaler la pilule.

Android-ExperimentsIngénieur en chef pour la sécurité Android chez Google, Adrian Ludwig souligne que l'équipe de sécurité d'Android n'a pas été mise au courant de la vulnérabilité avant sa publication. Il minimise par ailleurs le nombre d'appareils Android qui seraient vulnérables.

Le compte serait loin des deux tiers des terminaux Android. Perception Point a basé son estimation sur une présence du problème dans le noyau Linux à partir de la version 3.8. Des versions du kernel qui peuvent se retrouver sur des terminaux avec Android 4.4 KitKat ou plus, d'où le taux des 66 % qui est fonction du taux d'adoption des différentes versions d'Android.

Sauf que pour Google, cette estimation ne tient pas la route. Aucun appareil Nexus ne serait vulnérable à une exploitation par des applications tierces. Par ailleurs, tous les appareils avec Android 5.0 Lollipop ou plus bénéficient de la protection Android SELinux qui empêcherait des applications tierces d'atteindre le code vulnérable.

Quant aux terminaux sous Android 4.4 (et a fortiori une version antérieure), Google assure que beaucoup d'entre eux ne contiennent pas le code vulnérable introduit dans le noyau Linux 3.8. " Les nouvelles versions du noyau sont peu courantes sur d'anciens appareils Android. "

Perception Point avait déjà évoqué le cas de la protection avec le module SELinux sur les appareils Android qui rend une exploitation plus difficile mais pas forcément impossible à ses yeux. Un point pour lequel Perception Point est désormais en contact avec Google qui n'est manifestement pas du même avis.

Google a déjà préparé un correctif diffusé dans Android Open Source Project et auprès de ses partenaires. Le correctif arrivera sur les appareils dans une mise à jour de sécurité du 1er mars prochain mais comme à chaque fois, ce sera à la discrétion des fabricants. C'est peut-être cela le véritable problème...

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1876771
Pour une fois que ZDnet produit un article intéressant sur le sujet: http://www.zdnet.fr/actualites/comment-corriger-la-derniere-faille-0-day-de-linux-et-android-39831500.htm

En gros, pour exploiter la faille:

1) Il faut un accès physique à la machine
2) Disposer déjà d'un compte utilisateur sur cette machine
3) Que la machine ait un noyau non mis à jour dont la version est>3.10
4) Avec un core i7 compter plus de 30mn de moulinage (estimation sur un tél Android: plus de 24h)
5) En dessous de 8 Go de RAM (et peut être davantage), le processus est arrêté car occupe toute la mémoire
6) Impossible sous tél Android d'exploiter en pratique la faille en raison des points 1), 2), 4) et 5)

Il n'existe actuellement aucun témoignage de l'utilisation de cette faille malgré tout corrigée un jour après sa découverte sur les distributions classiques.

Sur mon Arch, j'ai reçu une mise à jour du noyau avant même que j'ai eu le temps de lire la publication de la faille dans les actus.
Le #1876799
mouarf76 a écrit :

Pour une fois que ZDnet produit un article intéressant sur le sujet: http://www.zdnet.fr/actualites/comment-corriger-la-derniere-faille-0-day-de-linux-et-android-39831500.htm

En gros, pour exploiter la faille:

1) Il faut un accès physique à la machine
2) Disposer déjà d'un compte utilisateur sur cette machine
3) Que la machine ait un noyau non mis à jour dont la version est>3.10
4) Avec un core i7 compter plus de 30mn de moulinage (estimation sur un tél Android: plus de 24h)
5) En dessous de 8 Go de RAM (et peut être davantage), le processus est arrêté car occupe toute la mémoire
6) Impossible sous tél Android d'exploiter en pratique la faille en raison des points 1), 2), 4) et 5)

Il n'existe actuellement aucun témoignage de l'utilisation de cette faille malgré tout corrigée un jour après sa découverte sur les distributions classiques.

Sur mon Arch, j'ai reçu une mise à jour du noyau avant même que j'ai eu le temps de lire la publication de la faille dans les actus.


Idem sur ma NetRunner (basé Debian). C'est comblé Et tu as eu raison de donner les conditions d'exploitation de la faille... Ca va calmer l'armée de trolls. On est vendredi et ils sont de sortie... Tiens ? ... Où sont passés les miens au fait ?!
Le #1876840
OpenSuSE130.2 et Leap42.1 : comblées...
Le #1876932
Ulysse2K a écrit :

mouarf76 a écrit :

Pour une fois que ZDnet produit un article intéressant sur le sujet: http://www.zdnet.fr/actualites/comment-corriger-la-derniere-faille-0-day-de-linux-et-android-39831500.htm

En gros, pour exploiter la faille:

1) Il faut un accès physique à la machine
2) Disposer déjà d'un compte utilisateur sur cette machine
3) Que la machine ait un noyau non mis à jour dont la version est>3.10
4) Avec un core i7 compter plus de 30mn de moulinage (estimation sur un tél Android: plus de 24h)
5) En dessous de 8 Go de RAM (et peut être davantage), le processus est arrêté car occupe toute la mémoire
6) Impossible sous tél Android d'exploiter en pratique la faille en raison des points 1), 2), 4) et 5)

Il n'existe actuellement aucun témoignage de l'utilisation de cette faille malgré tout corrigée un jour après sa découverte sur les distributions classiques.

Sur mon Arch, j'ai reçu une mise à jour du noyau avant même que j'ai eu le temps de lire la publication de la faille dans les actus.


Idem sur ma NetRunner (basé Debian). C'est comblé Et tu as eu raison de donner les conditions d'exploitation de la faille... Ca va calmer l'armée de trolls. On est vendredi et ils sont de sortie... Tiens ? ... Où sont passés les miens au fait ?!


Bizarrement lorsque c'est pour mitiger l'étendue d'une faille, ils sont absents, les anti-linux !
Le #1876948
JCDentonMale a écrit :

Ulysse2K a écrit :

mouarf76 a écrit :

Pour une fois que ZDnet produit un article intéressant sur le sujet: http://www.zdnet.fr/actualites/comment-corriger-la-derniere-faille-0-day-de-linux-et-android-39831500.htm

En gros, pour exploiter la faille:

1) Il faut un accès physique à la machine
2) Disposer déjà d'un compte utilisateur sur cette machine
3) Que la machine ait un noyau non mis à jour dont la version est>3.10
4) Avec un core i7 compter plus de 30mn de moulinage (estimation sur un tél Android: plus de 24h)
5) En dessous de 8 Go de RAM (et peut être davantage), le processus est arrêté car occupe toute la mémoire
6) Impossible sous tél Android d'exploiter en pratique la faille en raison des points 1), 2), 4) et 5)

Il n'existe actuellement aucun témoignage de l'utilisation de cette faille malgré tout corrigée un jour après sa découverte sur les distributions classiques.

Sur mon Arch, j'ai reçu une mise à jour du noyau avant même que j'ai eu le temps de lire la publication de la faille dans les actus.


Idem sur ma NetRunner (basé Debian). C'est comblé Et tu as eu raison de donner les conditions d'exploitation de la faille... Ca va calmer l'armée de trolls. On est vendredi et ils sont de sortie... Tiens ? ... Où sont passés les miens au fait ?!


Bizarrement lorsque c'est pour mitiger l'étendue d'une faille, ils sont absents, les anti-linux !


Aucune antinomie dans cette démarche. Nous ne sommes pas ''anti linux"...mais devant l'arrogance d'une personne qui se déclare ''expert en sécurité informatique'' et veut convertir tout le monde et personne a utiliser un OS qui ne réponds pas a notre envie, alors nous remettons le petit califat a sa place.....nous ne sommes pas ses élèves, ni ses employés.

J'ai toujours écouté avec plaisir et attention des intervenants comme Ulysse et d'autres dont les propos sont cohérents et non agressifs.
Le #1876954
Morpheus005 a écrit :

JCDentonMale a écrit :

Ulysse2K a écrit :

mouarf76 a écrit :

Pour une fois que ZDnet produit un article intéressant sur le sujet: http://www.zdnet.fr/actualites/comment-corriger-la-derniere-faille-0-day-de-linux-et-android-39831500.htm

En gros, pour exploiter la faille:

1) Il faut un accès physique à la machine
2) Disposer déjà d'un compte utilisateur sur cette machine
3) Que la machine ait un noyau non mis à jour dont la version est>3.10
4) Avec un core i7 compter plus de 30mn de moulinage (estimation sur un tél Android: plus de 24h)
5) En dessous de 8 Go de RAM (et peut être davantage), le processus est arrêté car occupe toute la mémoire
6) Impossible sous tél Android d'exploiter en pratique la faille en raison des points 1), 2), 4) et 5)

Il n'existe actuellement aucun témoignage de l'utilisation de cette faille malgré tout corrigée un jour après sa découverte sur les distributions classiques.

Sur mon Arch, j'ai reçu une mise à jour du noyau avant même que j'ai eu le temps de lire la publication de la faille dans les actus.


Idem sur ma NetRunner (basé Debian). C'est comblé Et tu as eu raison de donner les conditions d'exploitation de la faille... Ca va calmer l'armée de trolls. On est vendredi et ils sont de sortie... Tiens ? ... Où sont passés les miens au fait ?!


Bizarrement lorsque c'est pour mitiger l'étendue d'une faille, ils sont absents, les anti-linux !


Aucune antinomie dans cette démarche. Nous ne sommes pas ''anti linux"...mais devant l'arrogance d'une personne qui se déclare ''expert en sécurité informatique'' et veut convertir tout le monde et personne a utiliser un OS qui ne réponds pas a notre envie, alors nous remettons le petit califat a sa place.....nous ne sommes pas ses élèves, ni ses employés.

J'ai toujours écouté avec plaisir et attention des intervenants comme Ulysse et d'autres dont les propos sont cohérents et non agressifs.


Expert ? J'ai dit ça moi ? Tu peux citer la phrase stp ?

On m'a demandé ma légitimité à parler de ce sujet, j'ai juste osé répondre à la question en disant que je bossais dans ce secteur, je ne suis pas un expert du tout. Après comme toute personne normale, quand on m'insulte, je fais comme toi, je remets les choses en place (mais pas avec le même mépris que toi par contre) Moi je me contente de poser des questions simples. Visiblement ça dérange certains.
Le #1876955
Morpheus005 a écrit :

JCDentonMale a écrit :

Ulysse2K a écrit :

mouarf76 a écrit :

Pour une fois que ZDnet produit un article intéressant sur le sujet: http://www.zdnet.fr/actualites/comment-corriger-la-derniere-faille-0-day-de-linux-et-android-39831500.htm

En gros, pour exploiter la faille:

1) Il faut un accès physique à la machine
2) Disposer déjà d'un compte utilisateur sur cette machine
3) Que la machine ait un noyau non mis à jour dont la version est>3.10
4) Avec un core i7 compter plus de 30mn de moulinage (estimation sur un tél Android: plus de 24h)
5) En dessous de 8 Go de RAM (et peut être davantage), le processus est arrêté car occupe toute la mémoire
6) Impossible sous tél Android d'exploiter en pratique la faille en raison des points 1), 2), 4) et 5)

Il n'existe actuellement aucun témoignage de l'utilisation de cette faille malgré tout corrigée un jour après sa découverte sur les distributions classiques.

Sur mon Arch, j'ai reçu une mise à jour du noyau avant même que j'ai eu le temps de lire la publication de la faille dans les actus.


Idem sur ma NetRunner (basé Debian). C'est comblé Et tu as eu raison de donner les conditions d'exploitation de la faille... Ca va calmer l'armée de trolls. On est vendredi et ils sont de sortie... Tiens ? ... Où sont passés les miens au fait ?!


Bizarrement lorsque c'est pour mitiger l'étendue d'une faille, ils sont absents, les anti-linux !


Aucune antinomie dans cette démarche. Nous ne sommes pas ''anti linux"...mais devant l'arrogance d'une personne qui se déclare ''expert en sécurité informatique'' et veut convertir tout le monde et personne a utiliser un OS qui ne réponds pas a notre envie, alors nous remettons le petit califat a sa place.....nous ne sommes pas ses élèves, ni ses employés.

J'ai toujours écouté avec plaisir et attention des intervenants comme Ulysse et d'autres dont les propos sont cohérents et non agressifs.


Clair
Le #1876956
Ulysse2K a écrit :

mouarf76 a écrit :

Pour une fois que ZDnet produit un article intéressant sur le sujet: http://www.zdnet.fr/actualites/comment-corriger-la-derniere-faille-0-day-de-linux-et-android-39831500.htm

En gros, pour exploiter la faille:

1) Il faut un accès physique à la machine
2) Disposer déjà d'un compte utilisateur sur cette machine
3) Que la machine ait un noyau non mis à jour dont la version est>3.10
4) Avec un core i7 compter plus de 30mn de moulinage (estimation sur un tél Android: plus de 24h)
5) En dessous de 8 Go de RAM (et peut être davantage), le processus est arrêté car occupe toute la mémoire
6) Impossible sous tél Android d'exploiter en pratique la faille en raison des points 1), 2), 4) et 5)

Il n'existe actuellement aucun témoignage de l'utilisation de cette faille malgré tout corrigée un jour après sa découverte sur les distributions classiques.

Sur mon Arch, j'ai reçu une mise à jour du noyau avant même que j'ai eu le temps de lire la publication de la faille dans les actus.


Idem sur ma NetRunner (basé Debian). C'est comblé Et tu as eu raison de donner les conditions d'exploitation de la faille... Ca va calmer l'armée de trolls. On est vendredi et ils sont de sortie... Tiens ? ... Où sont passés les miens au fait ?!


Les miens sont arrivés
(Fais gaffe, évite de leur demander ce que font les sociétés d'anti virus des scans qu'elles effectuent sur les machines. Quoi qu'on est vendredi après tout....
Le #1876958
FRANCKYIV a écrit :

Morpheus005 a écrit :

JCDentonMale a écrit :

Ulysse2K a écrit :

mouarf76 a écrit :

Pour une fois que ZDnet produit un article intéressant sur le sujet: http://www.zdnet.fr/actualites/comment-corriger-la-derniere-faille-0-day-de-linux-et-android-39831500.htm

En gros, pour exploiter la faille:

1) Il faut un accès physique à la machine
2) Disposer déjà d'un compte utilisateur sur cette machine
3) Que la machine ait un noyau non mis à jour dont la version est>3.10
4) Avec un core i7 compter plus de 30mn de moulinage (estimation sur un tél Android: plus de 24h)
5) En dessous de 8 Go de RAM (et peut être davantage), le processus est arrêté car occupe toute la mémoire
6) Impossible sous tél Android d'exploiter en pratique la faille en raison des points 1), 2), 4) et 5)

Il n'existe actuellement aucun témoignage de l'utilisation de cette faille malgré tout corrigée un jour après sa découverte sur les distributions classiques.

Sur mon Arch, j'ai reçu une mise à jour du noyau avant même que j'ai eu le temps de lire la publication de la faille dans les actus.


Idem sur ma NetRunner (basé Debian). C'est comblé Et tu as eu raison de donner les conditions d'exploitation de la faille... Ca va calmer l'armée de trolls. On est vendredi et ils sont de sortie... Tiens ? ... Où sont passés les miens au fait ?!


Bizarrement lorsque c'est pour mitiger l'étendue d'une faille, ils sont absents, les anti-linux !


Aucune antinomie dans cette démarche. Nous ne sommes pas ''anti linux"...mais devant l'arrogance d'une personne qui se déclare ''expert en sécurité informatique'' et veut convertir tout le monde et personne a utiliser un OS qui ne réponds pas a notre envie, alors nous remettons le petit califat a sa place.....nous ne sommes pas ses élèves, ni ses employés.

J'ai toujours écouté avec plaisir et attention des intervenants comme Ulysse et d'autres dont les propos sont cohérents et non agressifs.


Clair


Ouais clair grave trop smiley xD lol kikoo mdr. Toujours des interventions pertinentes et intéressantes je vois.
Anonyme
Le #1876961
JCDentonMale a écrit :

Ulysse2K a écrit :

mouarf76 a écrit :

Pour une fois que ZDnet produit un article intéressant sur le sujet: http://www.zdnet.fr/actualites/comment-corriger-la-derniere-faille-0-day-de-linux-et-android-39831500.htm

En gros, pour exploiter la faille:

1) Il faut un accès physique à la machine
2) Disposer déjà d'un compte utilisateur sur cette machine
3) Que la machine ait un noyau non mis à jour dont la version est>3.10
4) Avec un core i7 compter plus de 30mn de moulinage (estimation sur un tél Android: plus de 24h)
5) En dessous de 8 Go de RAM (et peut être davantage), le processus est arrêté car occupe toute la mémoire
6) Impossible sous tél Android d'exploiter en pratique la faille en raison des points 1), 2), 4) et 5)

Il n'existe actuellement aucun témoignage de l'utilisation de cette faille malgré tout corrigée un jour après sa découverte sur les distributions classiques.

Sur mon Arch, j'ai reçu une mise à jour du noyau avant même que j'ai eu le temps de lire la publication de la faille dans les actus.


Idem sur ma NetRunner (basé Debian). C'est comblé Et tu as eu raison de donner les conditions d'exploitation de la faille... Ca va calmer l'armée de trolls. On est vendredi et ils sont de sortie... Tiens ? ... Où sont passés les miens au fait ?!


Bizarrement lorsque c'est pour mitiger l'étendue d'une faille, ils sont absents, les anti-linux !


Perso j'utilise Windows. Il y a du très bon dans Linux, dans Windows, même dans MAC. Le monde est pas tout blanc ou tout noir (ça se saurait).

J'aime bien lire les commentaires et je constate que les utilisateurs de Windows sur ce site se font littéralement défoncer l'an** dans les commentaires.

Et ce même dans tous les sujets relatifs à Microsoft (que ce soit des bonnes ou des mauvaises nouvelles).

L'idée serait d'accepter le peu de taquineries sur le peu de news qui traitent de Linux...

Ou ne pas faire de remarque quand il n'y en a pas.

Là ton commentaire moisi va juste servir à pondre 4 pages de commentaires et de justifications à la con de la part des uns et des autres.

Et quand on en arrive là je perds le plaisir que j'ai à lire les avis des internautes...
Dommage...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]