C'est encore une pluie de vulnérabilités que Google a combler pour son système d'exploitation mobile Android. Si en juin dernier 28 failles ont été corrigées, cette fois la firme de Mountain View a annoncé la mise à disposition de 57 patchs dont 8 pour combler des trous de sécurité critiques. Dans le détail, le premier bundle de sécurité de Google (2016-09-01) inclut 19 patchs permettant de combler 25 vulnérabilités dont deux critiques. Parmi elles, la CVE-2016-3861 permettant de d'exécuter du code distant dans le cadre d'une attaque de type dépassement de mémoire ciblant le package libutils d'Android. Dans un billet de blog posté la semaine dernière par Mark Brand de l'équipe de veille en sécurité de Google, Project Zero, on apprend également que la seconde vulnérabilité (CVE-2016-38 62) permet quant à elle l'exécution de code distant dans les composants Mediaserver d'Android.
Pas encore de mise à jour pour les terminaux autres que Nexus
Le deuxième set de correctifs (2016-09-05) inclut quant à lui 26 patchs permettant de combler notamment 4 vulnérabilités critiques permettant à un utilisateur malveillant de s'arroger des privilèges système dont il ne dispose pas (CVE-2014-9529 et CVE-2016-4470), d'accéder à un noyau de sous-système réseau (CVE-2013-7446) ou de netfilter (CVE-2016-3134) et de driver USB (CVE-2016-3951). Enfin, le dernier tir groupé de patchs (2016-09-06) inclut deux patchs dont l'un résout une vulnérabilité d'escalade de privilège dans le noyau du sous-système de mémoire partagé (CVE-2016-5340).
Une fois de plus, ces patchs de sécurité sont immédiatement disponibles pour les terminaux Nexus, commercialisés par Google, et on ne sait pas quand pour les autres fournisseurs de mobiles Android. Un point toujours très agaçant sur la plate-forme Android.
a comblées
Signaler un abuspartagée