Table des matières:
Google a publié les détails concernant le correctif de sécurité du 2 avril pour Android, atténuant complètement les problèmes décrits dans un bulletin il y a plusieurs semaines, ainsi que de nombreux problèmes critiques ou modérés. Celui-ci est un peu différent des précédents communiqués, avec une attention particulière portée à une vulnérabilité d'élévation de privilèges dans les versions 3.4, 3.10 et 3.14 du noyau Linux utilisé dans Android. Nous en discuterons plus loin dans la page. En attendant, voici la ventilation de ce que vous devez savoir sur le patch de ce mois-ci.
Des images de micrologiciel mises à jour sont désormais disponibles pour les appareils Nexus actuellement pris en charge sur le site de développement de Google. Le projet Open Source Android a ces modifications en cours de déploiement dans les branches concernées, et tout sera terminé et synchronisé dans les 48 heures. Des mises à jour en liaison radio avec les téléphones et les tablettes Nexus actuellement pris en charge sont en cours. Elles suivront la procédure de déploiement standard de Google. Cela peut prendre une semaine ou deux pour vous rendre à votre Nexus. Tous les partenaires - c'est-à-dire les concepteurs de votre téléphone, quelle que soit leur marque - ont accès à ces correctifs à compter du 16 mars 2016 et annonceront et corrigeront les appareils selon leurs propres calendriers.
Le problème le plus grave abordé est une vulnérabilité qui pourrait permettre l'exécution de code à distance lors du traitement de fichiers multimédias. Ces fichiers peuvent être envoyés à votre téléphone par n'importe quel moyen: courrier électronique, MMS de navigation sur le Web ou messagerie instantanée. D'autres problèmes critiques corrigés sont spécifiques au client DHCP, au module de performance de Qualcomm et au pilote RF. Ces exploits pourraient permettre l'exécution d'un code compromettant de manière permanente le micrologiciel du périphérique, ce qui obligerait l'utilisateur final à refaire le flashage du système d'exploitation complet - si «des mesures d'atténuation de la plate-forme et du service sont désactivées pour le développement». C’est le mot sécurité qui permet d’installer des applications de sources inconnues et / ou de permettre le déverrouillage par les constructeurs.
D'autres vulnérabilités corrigées incluent également des méthodes pour contourner la protection contre les réinitialisations d'usine, des problèmes pouvant être exploités pour permettre des attaques par déni de service et des problèmes permettant l'exécution de code sur les périphériques root. Les professionnels de l'informatique seront ravis de constater les problèmes de messagerie et d'ActiveSync susceptibles de permettre l'accès à des informations "sensibles" corrigées dans cette mise à jour.
Comme toujours, Google nous rappelle également qu'aucun utilisateur n'a été affecté par ces problèmes et qu'il existe une procédure recommandée pour empêcher les appareils de devenir la victime de ces problèmes et de ceux à venir:
- L’exploitation de nombreuses versions d’Android rend plus difficile l’exploitation de nombreux problèmes sur Android. Nous encourageons tous les utilisateurs à mettre à jour, si possible, la dernière version d'Android.
- L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet, qui avertiront l'utilisateur des applications potentiellement dangereuses détectées sur le point d'être installées. Les outils d’enracinement des appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, vérifiez que les applications sont activées par défaut et les avertiront des applications de root connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps en avertira l'utilisateur et tentera de supprimer ces applications.
- Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les supports à des processus tels que mediaserver.
Concernant les problèmes mentionnés dans le précédent bulletin
Le 18 mars 2016, Google a publié un bulletin de sécurité supplémentaire distinct concernant les problèmes rencontrés dans le noyau Linux et utilisés sur de nombreux téléphones et tablettes Android. Il a été démontré qu’un exploit dans les versions 3.4, 3.10 et 3.14 du noyau Linux utilisé dans Android permettait aux périphériques d’être compromis de manière permanente - enracinée, en d’autres termes - et que les téléphones et autres périphériques concernés nécessiteraient un nouveau flash du système d’exploitation. récupérer. Une application ayant pu démontrer cet exploit, un bulletin semestriel a été publié. Google a également indiqué que les appareils Nexus recevraient un correctif "dans quelques jours". Ce correctif ne s'est jamais matérialisé et Google ne fait aucune mention de pourquoi dans le dernier bulletin de sécurité.
Le problème - CVE-2015-1805 - a été complètement corrigé dans la mise à jour de sécurité du 2 avril 2016. Les branches AOSP pour les versions Android 4.4.4, 5.0.2, 5.1.1, 6.0 et 6.0.1 ont reçu ce correctif et le déploiement à la source est en cours.
Google mentionne également que les appareils susceptibles d'avoir reçu un correctif daté du 1er avril 2016 n'ont pas été corrigés contre cet exploit, et que seuls les appareils Android dotés d'un niveau de correctif daté du 2 avril 2016 ou ultérieur sont à jour.
La mise à jour envoyée aux tranches Verizon Galaxy S6 et Galaxy S6 est datée du 2 avril 2016 et contient ces correctifs.
La mise à jour envoyée aux T-Mobile Galaxy S7 et Galaxy S7 edge est datée du 2 avril 2016 et contient ces correctifs.
La version AAE298 pour les téléphones BlackBerry Priv déverrouillés est datée du 2 avril 2016 et contient ces correctifs. Il est sorti fin mars 2016.
Les téléphones fonctionnant avec une version de noyau 3.18 ne sont pas affectés par ce problème particulier, mais nécessitent tout de même les correctifs pour les autres problèmes traités dans le correctif du 2 avril 2016.
