Google publie la mise à jour de sécurité mensuelle d'Android. Pour septembre, elle comble un total de 55 vulnérabilités dont 8 sont considérées critiques. Les failles sont divisées en plusieurs lots (ou niveaux) complémentaires.
Deux niveaux concernent des composants d'Android et des pilotes spécifiques de fabricants. L'objectif d'une telle distinction est d'offrir une plus grande flexibilité aux partenaires Android et leur permettre de corriger rapidement des vulnérabilités qui sont similaires pour les appareils.
Un troisième niveau fait référence à des problèmes découverts après que les partenaires aient été informés de la plupart des problèmes du bulletin. En l'occurrence, il est question de deux correctifs en rapport avec les vulnérabilités dites QuadRooter. Les deux autres failles QuadRooter avaient été corrigées en juillet et août.
Affectant des drivers pour des chipsets Qualcomm, les quatre failles QuadRooter ont été divulguées début août par des chercheurs de Check Point. La société de cybersécurité avait alors évoqué un risque de compromission complète pour 900 millions de terminaux Android.
Le constat était un tantinet alarmiste dans la mesure où l'exploitation nécessite l'installation manuelle d'une application obtenue depuis des sources inconnues. Par ailleurs, la fonctionnalité de sécurité Verify Apps intégrée au Google Play Services doit assurer une protection.
Dans le bulletin de sécurité Android pour le mois de septembre, on notera également des corrections critiques pour des vulnérabilités d'exécution à distance affectant LibUtils et Mediaserver. Mediaserver avait été au cœur des fameuses vulnérabilités Stagefright de l'été dernier et exploitables via des fichiers multimédia spécialement conçus.
Avec Android 7.0 alias Nougat, plusieurs dispositions ont été prises dont l'éclatement du bloc Mediaserver afin de limiter l'accès à des autorisations et ressources par le biais d'une seule compromission.
