Android a reçu une mise à jour de sécurité plus que conséquente. Google vient d’annoncer que plus de 100 vulnérabilités étaient concernées par le bulletin mensuel de sécurité publié lundi. 29 d’entre elles sont considérées comme critiques, principalement dans les systèmes de traitement des médias et des drivers spécifiques. Six de ces failles critiques concernent le Mediaserver, un composant Android qui facilite le traitement des images et des vidéos au niveau du processeur.
Les failles concernées ce mois-ci peuvent être exploitées en obligeant les utilisateurs à télécharger des fichiers images ou des vidéos, mais aussi en partageant ces derniers via des courriels ou applications de messagerie instantanée. A noter qu’il n’est même pas nécessaire d’ouvrir les fichiers vérolés pour que la faille soit exploitée. Leur exploitation peut ainsi être faite par des attaquants sur certains terminaux en exécutant des commandes au niveau du Medaiserver ayant des privilèges plus élevés par rapport à d’autres applications traditionnelles. Sur certains terminaux, il est même possible de compromettre l’intégralité des données du téléphone.
Le Mediaserver sensible aux MMS
C’est surtout au travers de l’envoi et la réception de MMS que les failles du Mediaserver peuvent être exploitées. C’est d’ailleurs la raison pour laquelle Google désactive par défaut cette fonctionnalité dans son application de messagerie sur les versions basiques d’Android et dans Hangouts. Les autres applications restent toutefois concernées. En plus de ces 6 failles critiques, le bulletin de sécurité de mai vient combler 8 vulnérabilités « à haut risque », 5 « modérées » et une représentant un risque limité. Plusieurs d’entre elles concernent, là encore, Mediaserver.
A noter que le bulletin de mai est séparé en deux « niveaux de patchs », différencié par leur date de publication. Le patch estampillé 2017-05-01 couvre ainsi les vulnérabilités communes à l’ensemble des terminaux Android, tandis que le 2017-05-05 apporte une couche supplémentaire de correctifs pour des kernels et des drivers spécifique à certain produits.
Une faille critique dans GIFLIB aussi corrigée
Si les failles énoncées plus haut relèvent du premier niveau de patch, le second contient aussi quelques correctifs intéressants. Ceux-ci couvrent notamment une vulnérabilité dans GIFLIB, une librairie qui sert à lire et écrire les GIF. Bien que jugée critique, cette faille n’affecte pas l’ensemble des terminaux. D’autres vulnérabilités, également jugées critiques, affectent les drivers de l’écran tactile, des utilitaires de démarrage Motorola et Qualcomm ou les drivers. Elles peuvent être utilisées pour exécuter du code arbitraire dans le kernel depuis des applications malveillantes. Une attaque réussie sur ce genre de composant nécessite de réinitialiser l’ensemble du terminal depuis le firmware.