Dans la dernière mise à jour de sécurité d’Android, Google a corrigé huit failles critiques et 28 vulnérabilités à haut risque. La plupart des correctifs concernent les pilotes de différents composants matériels de plusieurs fabricants de puces. En particulier, les pilotes Qualcomm concentrent le plus grand nombre de vulnérabilités critiques et à haut risque. Ainsi, les drivers vidéo, audio, GPU, Wi-Fi, et caméra de Qualcomm ont tous été corrigés. Certaines des vulnérabilités dites par escalade de privilèges pourraient permettre à des malwares d'exécuter du code malveillant dans le noyau et exposer de façon permanente le terminal à des attaques.
D’autres vulnérabilités à haut risque ont également été corrigées dans le pilote WiFi de Broadcom, le driver Nvidia pour l'appareil photo, et celui de gestion d’énergie de MediaTek. Ces vulnérabilités pourraient permettre à des applications ordinaires d’accéder à des privilèges ou à des paramètres système normalement non autorisés. Dans certains cas, ces vulnérabilités permettent l'exécution de code au niveau du noyau, mais seulement si l'attaquant parvient à compromettre un autre service pour communiquer avec le pilote affecté. Ces vulnérabilités sont un avertissement pour les fabricants de puces et devraient les inciter à mieux tester le code de leurs drivers qui tournent en général dans des zones de l’OS où les privilèges sont les plus élevés.
Encore des correctifs pour Mediaserver
Mis à part ces 21 correctifs pour les pilotes de différents composants matériels de plusieurs fabricants de puces, Google a corrigé plus d'une douzaine de failles dans le composant Mediaserver qui gère le traitement des fichiers audio et vidéo sur Android, dont une vulnérabilité critique, 12 vulnérabilités à haut risque et une vulnérabilité modérée. Depuis un an, Google a travaillé dur pour renforcer Mediaserver. Une vulnérabilité critique a également été corrigée dans libwebm. Celle-ci pouvait permettre aux applications d'exécuter du code dans l’environnement Mediaserver et accéder à des privilèges particuliers. Par ailleurs, une vulnérabilité à haut risque a été corrigée dans la couche d'émulation de la carte SD, plus une vulnérabilité modérée dans l'interface utilisateur Framework UI, et une dans le gestionnaire d’activité.
Les mises à jour des firmwares pour Android ont été livrées hier de même que les mises à jour over-the-air pour les appareils Nexus (Nexus 5, Nexus 5X, Nexus 6, et Nexus 6P). La firme de Mountain View a également informé les fabricants de mobiles sur ces failles le 2 mai afin qu'ils puissent préparer les mises à jour de leurs propres firmwares. Les correctifs seront livrés à l’Android Open Source Project (AOSP) sous 48 heures de façon à ce que les firmwares développés par la communauté Android et d'autres projets qui utilisent le code AOSP puissent les intégrer.