Android N divise mediaserver pour éviter Stagefright

Le par Jérôme G.  |  16 commentaire(s)
Stagefright

Pour contrecarrer les effets d'une nouvelle vulnérabilité Stagefright, Android N divise mediaserver et ses autorisations dans divers composants et bacs à sable.

Lors de l'été 2015, Zimperium a dévoilé l'existence dans le système d'exploitation mobile Android d'une vulnérabilité d'exécution de code à distance dite Stagefright en rapport avec la bibliothèque logicielle multimédia éponyme (libstagefright).

Des chercheurs en sécurité ont notamment démontré comment un message MMS spécialement conçu et envoyé à un numéro de téléphone peut permettre de compromettre un appareil via un fichier média, et ce à l'insu de l'utilisateur.

Le champ des possibilités ouvert par le bug - ou plutôt les bugs - Stagefright a eu un fort écho, et d'autant plus avec le problème de la fragmentation des versions d'Android pour apporter un correctif. Outre des patchs, cela a poussé Google à inaugurer des mises à jour de sécurité mensuelles. Mais tous les appareils ne les verront pas…

Les bugs Stagefright font encore parler d'eux avec pour coupable désigné la trop grande latitude de mediaserver qui est utilisé pour le traitement du contenu multimédia. Dans Android N, il a ainsi été décidé de diviser mediaserver et ses autorisations dans plusieurs composants et environnements de sandbox distincts, et en quelque sorte de lui donner moins de pouvoir " générique " sur le multimédia.

La manœuvre passe par une nouvelle architecture afin que l'obtention d'une exécution de code dans libstagefright ne puisse pas donner accès à toutes les autorisations et ressources disponibles dans un seul " bloc " mediaserver.

Android-N-mediaserver
" Dans Android N, libstagefright fonctionne dans la sandbox mediaserver avec un accès à très peu d'autorisations. […] La compromission de libstagefright offrira à l'attaquant un accès à beaucoup moins d'autorisations et atténuera également les élévations de privilèges en réduisant la surface d'attaque exposée par le kernel ", écrit l'équipe de sécurité Android.

Sur le blog Android Developers, des mesures préventives pour complexifier l'exploitation de problèmes de dépassement d'entier dans libstagefright sont également détaillées. Tout cela ne sera disponible que dans Android N.

  • Partager ce contenu :
Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
Rymix offline Hors ligne VIP icone 14536 points
Le #1895354
C'est super ! une très bonne nouvelle
Safirion offline Hors ligne VIP icone 40305 points
Le #1895357
Android N... J'ai même pas le M...
skynet away Absent VIP icone 80336 points
Le #1895363
Bonne initiative, enfin du proactif et pas seulement des rustines
Safirion offline Hors ligne VIP icone 40305 points
Le #1895367
skynet a écrit :

Bonne initiative, enfin du proactif et pas seulement des rustines


Oui, c'est vrai qu'on peut souligner cet effort de leur part.

Mais bon, ça règle pas le problème de fragmentation...
skynet away Absent VIP icone 80336 points
Le #1895381
Safirion a écrit :

skynet a écrit :

Bonne initiative, enfin du proactif et pas seulement des rustines


Oui, c'est vrai qu'on peut souligner cet effort de leur part.

Mais bon, ça règle pas le problème de fragmentation...


Et c'est pas fini !
Quand je vois dans les camemberts qu'on a encore un pourcentage de version 2.3 qui tourne encore, en 2016
Safirion offline Hors ligne VIP icone 40305 points
Le #1895388
skynet a écrit :

Safirion a écrit :

skynet a écrit :

Bonne initiative, enfin du proactif et pas seulement des rustines


Oui, c'est vrai qu'on peut souligner cet effort de leur part.

Mais bon, ça règle pas le problème de fragmentation...


Et c'est pas fini !
Quand je vois dans les camemberts qu'on a encore un pourcentage de version 2.3 qui tourne encore, en 2016


Ouais, c'est catastrophique...
Rymix offline Hors ligne VIP icone 14536 points
Le #1895407
skynet a écrit :

Safirion a écrit :

skynet a écrit :

Bonne initiative, enfin du proactif et pas seulement des rustines


Oui, c'est vrai qu'on peut souligner cet effort de leur part.

Mais bon, ça règle pas le problème de fragmentation...


Et c'est pas fini !
Quand je vois dans les camemberts qu'on a encore un pourcentage de version 2.3 qui tourne encore, en 2016


Une horreur
Anonyme
Le #1895436
Safirion a écrit :

Android N... J'ai même pas le M...


Tu es avec quel appareil ? Perso je suis sous CM13
Safirion offline Hors ligne VIP icone 40305 points
Le #1895449
Zenfone 2 Z551ML.
Mais j't'avoue que j'ai la flemme de le bidouiller pour installer CM13 pour l'instant... (D'autant plus qu'Asus va sortir la maj vers Marshmallow dans très peu de temps maintenant)
Rymix offline Hors ligne VIP icone 14536 points
Le #1895458
Safirion a écrit :

Zenfone 2 Z551ML.
Mais j't'avoue que j'ai la flemme de le bidouiller pour installer CM13 pour l'instant... (D'autant plus qu'Asus va sortir la maj vers Marshmallow dans très peu de temps maintenant)


Marshmallow, la version d'Android, que je n'ai jamais tester.
Dommage
icone Suivre les commentaires
Poster un commentaire