Google a publié la dernière mise à jour mensuelle de la sécurité Android, avec des détails complets et un nouveau logiciel disponible. La nouvelle date du niveau de correctif de sécurité est le 1er juin 2016 et les modifications apportées au projet Open Source Android devraient être terminées et publiées dans les 48 heures. Google nous indique également que les partenaires ont accès aux avertissements du bulletin de ce mois depuis le 2 mai ou avant.
Selon Google, aucun périphérique exploité activement par ces vulnérabilités n'a été signalé.
Ce mois-ci apporte des correctifs pour 21 vulnérabilités de sécurité, allant de critiques à modérées. Selon Google, le problème le plus grave est "une faille de sécurité critique qui pourrait permettre l'exécution de code à distance sur un périphérique affecté via plusieurs méthodes, telles que la messagerie électronique, la navigation Web et MMS lors du traitement de fichiers multimédias". Il semble que la bibliothèque Stagefright continue d’être une priorité pour les chercheurs en sécurité, ainsi que pour l’équipe de sécurité de Google, ce qui rend encore plus importante la séparation du serveur multimédia de la couche du système d’exploitation et la mise à jour séparée dans Android N.
Google souligne également (comme chaque mois) qu'il n'y a eu aucun signalement de périphériques activement exploités par ces vulnérabilités, et que les protections de sécurité au niveau de la plate-forme et les services, tels que SafetyNet, réduisent le risque d'être réellement affectés.
Un résumé rapide:
- L’exploitation de nombreuses versions d’Android rend plus difficile l’exploitation de nombreux problèmes sur Android. Nous encourageons tous les utilisateurs à mettre à jour, si possible, la dernière version d'Android.
- L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet, conçus pour avertir les utilisateurs des applications potentiellement nuisibles. Vérifiez que les applications sont activées par défaut sur les appareils dotés de Google Mobile Services, et est particulièrement important pour les utilisateurs qui installent des applications en dehors de Google Play. Les outils d'enracinement de périphériques sont interdits dans Google Play, mais l'option Vérifier les applications prévient les utilisateurs lorsqu'ils tentent d'installer une application d'enracinement détectée, quelle que soit son origine. De plus, Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues exploitant une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer l'application détectée.
- Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les supports à des processus tels que mediaserver.
Vous trouverez des informations complètes sur toutes les questions relatives aux problèmes sur le site du bulletin de sécurité.
On ne sait pas quand prévoir le correctif pour un autre appareil sous Android, mais les appareils Nexus actuels, les téléphones Android One et le Pixel C bénéficient d'une mise à jour diffusée dès aujourd'hui, et elle devrait être déployée à tous les appareils en temps voulu. Si vous êtes impatient (et si c'est le cas, pourquoi n'utilisez-vous pas la version bêta d'Android N?), Vous pouvez flasher les images d'usine publiées sur le site des développeurs de Google.
