Depuis l'été dernier et l'émergence des vulnérabilités Stagefright, Google propose un rendez-vous mensuel consacré à la sécurité. Le premier rendez-vous pour l'année 2016 est l'occasion de corriger une douzaine de vulnérabilités dans Android. Les détenteurs d'un appareil Nexus ont ainsi droit à quelques patchs.
Cinq vulnérabilités de sécurité sont classées critiques dont une d'exécution de code à distance qui est la plus sérieuse. Le problème se situe une nouvelle fois au niveau du composant Mediaserver dédié au traitement des fichiers multimédia sur Android. Les versions 5.0, 5.1.1, 6.0 et 6.0.1 sont affectées.
Via un fichier média spécialement conçu et intégré dans une page Web, un email ou un message MMS, un attaquant peut exploiter la vulnérabilité pour injecter du code malveillant en tirant parti d'une erreur de corruption de mémoire dans Mediaserver.
Les autres vulnérabilités critiques sont de type élévation de privilèges. Elles concernent les pilotes misc-sd de MediaTek et en mode noyau de Imagination Technologies, Trustzone et le noyau Android.
Pour l'ensemble des vulnérabilités corrigées, les versions d'Android concernées vont de 4.4.4 à 6.0.1. Si Google diffuse les patchs pour ses propres appareils Nexus, ses partenaires ont été prévenus des problèmes identifiés le 7 décembre.
Dans un bilan purement comptable pour l'année 2015, CVE Details a dénombré 130 vulnérabilités publiques pour Android et 375 pour iOS.