C'est l'heure de la mise à jour de sécurité mensuelle pour Android. Google donne le détail des vulnérabilités affectant ses appareils Nexus et d'autres équipés du système d'exploitation mobile Android. Des failles pour lesquelles des patchs ont donc été élaborés.
Une quarantaine de vulnérabilités sont référencées. Parmi celles-ci, huit sont étiquetées avec un niveau de gravité critique. Comme à l'accoutumée, Mediaserver - qui avait été au centre des vulnérabilités Stagefright - n'y échappe pas avec une faille critique dont l'exploitation peut permettre une exécution de code à distance via un fichier multimédia spécialement conçu.
Une autre vulnérabilité critique similaire réside dans libwebm et qui permet à des applications d'exécuter du code dans le contexte du processus Mediaserver. Rappelons que ce dernier a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas avoir accès.
Dans Android N, qui est la prochaine mouture majeure d'Android, Mediaserver et ses autorisations sont divisés dans plusieurs composants et environnements de sandbox distincts. Ce renforcement de la pile multimédia vise à empêcher des bugs de devenir des vulnérabilités, et protéger le système en donnant moins de privilèges et en isolant des composants qui traitent du contenu non sûr.
Les six autres vulnérabilités critiques pour juin font référence à des élévations de privilèges dans des pilotes Qualcomm (vidéo, son, GPU, Wi-Fi). Elles peuvent permettre à des applications malveillantes d'exécuter du code arbitraire dans le contexte du kernel pour compromettre un appareil en local.
Les utilisateurs d'appareils Nexus seront parmi les premiers à recevoir les correctifs de sécurité. Samsung, LG, Sony et BlackBerry se calent aussi sur les mises à jour mensuelles de Google pour certains de leurs appareils. À noter d'ailleurs que Google ne parle plus de Nexus Security Bulletin mais de Android Security Bulletin.
D'après une récente information de Bloomberg, Google aurait dans l'idée de mettre la pression sur ses partenaires Android en publiant une liste de ceux qui ne livrent pas les mises à jour aux utilisateurs finaux.
