Bienvenue dans un autre épisode palpitant de la mise à jour de sécurité mensuelle de Google. Le mois de février est arrivé. Cela signifie que le moment est venu pour Google de décrire tous les correctifs apportés à Android et d'indiquer qui en est l'auteur.
Pour les non-initiés, Google (et le projet Open Source Android) accepte les contributions de sources externes ainsi que celles des équipes de Google. Chaque mois, ces contributions sont envoyées aux partenaires de Google afin qu'ils puissent mettre à jour leurs propres appareils. Environ un mois plus tard, ces mises à jour sont transmises à la ligne Nexus. Certains partenaires aiment vraiment mettre à jour leurs produits, mais ce cycle mensuel reste un défi pour de nombreuses entreprises utilisant Android pour leurs produits.
Voici ce qui est corrigé ce mois-ci.
Les problèmes signalés comme critiques par l'équipe interne de Google ce mois-ci concernent essentiellement l'escalade des privilèges et l'exécution de code à distance. La mise à jour de février abordera les problèmes de code à distance dans un pilote Wi-Fi Broadcom ainsi que dans le serveur Mediaserver, tout en traitant des problèmes d'escalade dans le module de performance, le pilote WiFi et le démon de débogage de Qualcomm. Des vulnérabilités d'escalade progressive sont également traitées dans les systèmes généraux Android Wifi et Mediaserver, mais ces problèmes ont été marqués comme élevés au lieu de comme critiques dans la liste de gravité de Google. Une mise à jour de la bibliothèque Minikin corrigeait également une vulnérabilité de déni de service.
Comme toujours, Google affirme qu'il n'y a pas de rapports d'exploitation client active utilisant les problèmes signalés et corrigés dans cette mise à jour.
Deux marqueurs CVE étiquetés Modéré par Google indiquent un moyen de contourner la protection de réinitialisation d'usine dans l'assistant d'installation Android. Ces problèmes ont été corrigés. Bien que Google ait signalé ce problème comme modéré, il est important de comprendre ce que cela signifie pour les utilisateurs. Il existait une vulnérabilité qui permettait à quelqu'un qui savait contourner la mesure de sécurité qui empêche quelqu'un d'accéder à votre téléphone simplement en effectuant une réinitialisation d'usine. Comme c'est souvent le cas, Google affirme qu'il n'a pas été signalé d'exploitation active par le client à l'aide des problèmes signalés et corrigés dans cette mise à jour.
Les utilisateurs de Nexus qui souhaitent flasher cette mise à jour maintenant peuvent se rendre sur le site de Google pour les développeurs et récupérer la dernière version pour la mettre à jour. Une mise à jour OTA avec ce correctif sera bientôt disponible pour les téléphones et les tablettes Nexus, bien que les propriétaires de BlackBerry Priv aient peut-être remarqué que cette mise à jour OTA était disponible ce matin et peut être installée maintenant. On se voit le mois prochain!