Google vient de mettre en ligne sa nouvelle fournée de mises à jour de sécurité pour Android avec sept failles corrigées, dont deux critiques. Cela ne concerne par contre qu'Android 5.1.1 et 6.0.0, ce qui laisse sur le carreau une écrasante majorité des terminaux.
Suite à la découverte de la faille Stagefright qui impacte de très nombreux terminaux Android, Google avait annoncé qu'il publierait des mises à jour de sécurité mensuelle pour son système d'exploitation mobile. En ce début du mois de novembre, la troisième édition vient d'être mise en ligne, à la fois pour Android 5.1.1 (Lollipop) et 6.0.0 (Marshmallow).
Certains Nexus peuvent en profiter dès à présent
Dans le premier cas, les images d'usines sont estampillées LMY48X ou LMY48Y, mais tous les terminaux ne sont pas concernés. Actuellement, les Nexus 6, 7(2013 en Wi-Fi et 3G), 9 et 10 peuvent être mis à jour, mais pas les autres comme les Nexus 4 et 5 qui bénéficient pourtant de Lollipop. Du côté d'Android 6.0.0, Google ne précise pas de numéro de version et se contente d'annoncer qu'il faut que l'image intègre le « Security Patch Level du 1er novembre ».
Sept failles y sont comblées, dont deux avec un niveau critique. Dans les deux cas, le risque concerne une élévation de privilège avec la possibilité d'exécuter du code arbitraire. L'une des brèches se loge dans le médiacenter (CVE-2015-6608, d'Android 4.4 à 6.0) et a été identifiée par l'équipe de sécurité de Google, tandis que la seconde prend place dans la bibliothèque libutils (CVE-2015-6609 Android 6.0 et versions antérieures) et a été identifiée le 3 août par Daniel Micay de la société Copperhead Security.
On notera également que Stagefright n'en finit pas de faire parler d'elle avec un nouveau correctif lui étant dédié (CVE-2015-6610 Android 6.0 et versions antérieures). Dans tous les cas, la société de Mountain View précise qu'elle n'a eu « aucun rapport d'une exploitation active » de ces failles. Tous les détails se trouvent par ici.
Les versions AOSP arrivent
Dans tous les cas, Google précise que ses partenaires ont été informés de ces brèches de sécurité le 5 octobre au plus tard. Le correctif pour Android Open Source Project (AOSP) sera mis en ligne « dans les prochaines 48 heures » précisait hier soir Google, ce qui permettra aux partenaires de l'adapter à leurs terminaux.
Comme toujours avec Android, le problème reste qu'en dehors des Nexus, une grande majorité des smartphones un peu anciens n'ont que peu de chance d'être mis à jour. Ce correctif ne concerne en effet qu'Android 5.1.1, qui n'est installé que sur moins de 8 % des terminaux selon le dernier rapport de Google.
