Google honore son nouveau rendez-vous mensuel de sécurité. Il avait été mis en place cet été pour corriger une vulnérabilité affectant la bibliothèque logicielle multimédia Stagefright et permettant une exécution de code à distance sur un appareil Android via un l'envoi d'un MMS spécialement conçu.
Pour la mise à jour d'octobre, il est une nouvelle fois question de Stagefright. En l'occurrence, des vulnérabilités dites Stagefright 2.0 qui affecteraient potentiellement plus d'un milliard de terminaux Android. L'exploitation peut se faire par le biais de fichiers MP3 ou MP4 spécialement conçus.
Évoquées la semaine dernière par Zimperium, les vulnérabilités Stagefright 2.0 ont été trouvées dans la bibliothèque libutils depuis Android 1.0 et libstragefright depuis Android 5.0. Google souligne qu'il n'y a pas d'exploits publics.
Les corrections de la mise à jour d'octobre sont néanmoins plus nombreuses avec 15 vulnérabilités critiques dans libstagefright et 2 dans libutils. D'autres éléments sont également concernés pour un total de 30 vulnérabilités de sécurité.
Pour les appareils Nexus (ceux qui y ont droit), cette mise à jour porte la référence LMY48T ou plus pour Android 5.1.1. Pas de souci avec Android 6.0 dont le déploiement sur les Nexus vient de débuter.
Google précise que ses partenaires (les fabricants) ont été prévenus le 10 septembre. Le code source des patchs sera publié dans le dépôt Android Open Source Project. La correction de Stagefright 2.0 et autres failles pourrait néanmoins prendre bien du temps avant de concerner une partie plus ou moins conséquente des appareils vulnérables.
