En début de semaine, Google a publié plusieurs correctifs pour les terminaux de la gamme Nexus et publiera ces derniers au sein du code source de l'AOSP. Notons que les constructeurs partenaires ont reçu cette mise à jour le 7 décembre dernier et la déploieront en fonction de leurs calendriers respectifs.
Au total une douzaine de failles sont comblées dont cinq jugées critiques, deux en haute priorité et cinq modérées. Il est intéressant de noter que parmi les failles les plus dangereuses, l'une d'entre elles permettait d'exécuter du code à distance en exploitant une vulnérabilité de Media Server.
Media Server est un composant d'Android permettant d'indexer les médias stockés sur l'appareil. On se souvient l'année dernière des découvertes du cabinet de sécurité Zimperium concernant la faille de Stagefright, un outil de lecture média intégré à l'OS. Une faille pouvait être simplement exploitée en envoyant un MMS vérolé. Quelques jours plus tard, les experts de Trend Micro expliquaient avoir repéré une autre vulnérabilité affectant plus précisément Media Server. Concrètement il était possible de le faire planter avec une vidéo dotée d'un conteneur Matroska généralement utilisé par les fichiers de type MKV.
Les autres vulnérabilités importantes corrigées au mois de janvier concernent le kernel ou les connexions Wi-Fi et Bluetooth. Le hackeur était en mesure d'obtenir une élévation de privilèges, par exemple pour passer en mode root et prendre le contrôle total de l'appareil. Enfin une autre faille affectait TrustZone, une sécurité matérielle apposée sur les puces ARM. Celle-ci permettait d'exécuter du code malveillant.
- Retrouvez davantage d'information sur cette page.
