Le système de mises à jour mensuelles de Google continue d’apporter des corrections importantes aux vulnérabilités que beaucoup de gens ignorent n’avait jamais existé dans Android, et la liste de mars comprend 19 problèmes sur tout le système d’exploitation. Ces mises à jour sont classées comme étant de gravité Modérée, Elevée ou Critique, et avec la mise à jour publiée pour résoudre ces problèmes, vous trouverez une explication détaillée de ce qui est corrigé. Comme c'est souvent le cas avec ces mises à jour mensuelles, les contributions proviennent du monde entier, ainsi que des équipes de sécurité internes de Google, afin de garantir l'amélioration continue d'Android.
Voici ce que vous devez savoir sur les correctifs proposés dans le niveau de sécurité 01 mars 2016, ainsi que sur le moment de la mise à jour de votre téléphone ou de votre tablette.
La mise à jour de mars pour Android résout six problèmes critiques, huit problèmes élevés et deux problèmes modérés. Celles-ci incluent les vulnérabilités d'élévation des privilèges, les vulnérabilités d'exécution de code à distance, les vulnérabilités de déni de service à distance et les vulnérabilités de contournement de l'atténuation sur l'ensemble du système d'exploitation. Selon Google, le plus important de ces problèmes était une vulnérabilité d’exécution de code à distance détectée dans Mediaserver et libvpx. Ces problèmes auraient peut-être permis à un tiers d'utiliser un support MMS ou un support de lecture du navigateur pour exécuter du code sur votre téléphone ou votre tablette au moyen d'un fichier spécialement conçu qui s'est comporté de manière malveillante au lieu de jouer simplement un support. Google a publié des correctifs remontant à Android 4.4.4 pour résoudre ces problèmes.
Comme c'est souvent le cas avec ces mises à jour, Google affirme qu'il n'existe aucune preuve d'attaques actives utilisant ces vulnérabilités.
Les vulnérabilités d'élévation des privilèges dans les pilotes MediaTek et les composants de performance de Qualcomm ont également été abordées dans cette mise à jour, ainsi que dans Mediaserver et Keyring. Si elles étaient exploitées, ces vulnérabilités auraient pu permettre d’accéder à plus de droits que ceux dont l’application avait été autorisée à accéder. Il en va de même pour les vulnérabilités de divulgation d’informations dans la téléphonie, libstagefright, WideVine et le noyau Android, mais au lieu d’accéder à davantage des fonctions système, une application malveillante aurait pu avoir accès à plus de vos informations que celles que vous lui aviez données.
Comme c'est souvent le cas avec ces mises à jour, Google affirme qu'il n'existe aucune preuve d'attaques actives utilisant ces vulnérabilités. Les images des téléphones et tablettes Nexus contenant cette mise à jour de mars sont désormais disponibles sur le site des développeurs de Google. Les mises à jour Over-The-Air sont attendues dans la semaine. Google a communiqué ces mises à jour à tous ses partenaires Android il y a au moins 30 jours. Les sociétés qui se sont engagées à fournir des mises à jour de sécurité aussi rapidement que possible - comme BlackBerry, qui publie déjà la mise à jour de mars sur le fichier Priv - détailleront leurs plans de mise à jour. dès qu'ils le peuvent.