En ce début de mois de décembre, Google annonce la nouvelle mise à jour de sécurité mensuelle pour Android. Au programme, la correction de 47 vulnérabilités, dont dix sont jugées critiques et pour la plupart de type exécution de code à distance.
La moitié des failles critiques touche Media Framework, quatre pour des composants Qualcomm et une au niveau système. Selon Google, c'est une vulnérabilité critique dans le Media Framework qui représente le plus gros risque.
Avec un fichier spécialement conçu, son exploitation permet à un attaquant distant d'exécuter du code arbitraire " dans le contexte d'un processus privilégié. " Pour autant, il n'y a aucun rapport d'une exploitation active.
À noter que deux bugs de sécurité critiques du media framework affectent seulement Android 6.0, tandis qu'un autre concerne uniquement Android 8.0. Les deux autres affectent les versions allant d'Android 7.0 à 8.0.
Les corrections spécifiquement apportées aux appareils Pixel et Nexus font l'objet d'une publication à part. Il est fait mention d'une faille critique au niveau d'un composant Qualcomm.
La mise à jour de sécurité de décembre fait son apparition alors que la publication d'Android 8.1 ne devrait pas tarder.