Android : Google corrige 29 failles, dont 8 critiques

Comme chaque début de mois, Google publie un bulletin pour Android avec la liste des mises à jour de sécurité. En avril, les brèches sont au nombre de 29, dont 8 sont jugées comme critiques. Notez que dans certains cas, une faille peut regrouper plusieurs bulletins CVE de sécurité.

Huit failles critiques, dont une liée à libstagefright qui revient encore et encore

Parmi les correctifs les plus importants, on retrouve un problème lié au Dynamic Host Configuration Protocol (DHCPCD) qui permet de corrompre la mémoire afin d'exécuter du code arbitraire. Avec des fichiers spécialement conçus pour, il est également possible d'arriver à la même finalité via les composants Media Codec et Mediaserver. Et, une fois n'est pas coutume, libstagefright revient sur le devant de la scène avec un nouveau correctif.

Les cinq autres failles critiques concernent une élévation de privilèges via différents vecteurs d'attaques, dont la liste détaillée est disponible ici. Notez que la faille critique du kernel qui été déjà exploitée et qui a été comblée en urgence fin mars est également corrigée dans cette mise à jour.

Les images d'usine sont disponibles, AOSP arrive

Google précise que ses partenaires ont été informés de la situation le 16 mars au plus tard. La mise à jour OTA (Over The Air) pour les Nexus est en cours de déploiement et les images d'usine correspondantes sont dès à présent disponibles ici (elles portent les numéros de build MMB29X, MHC19Q ou LMY49J suivant les cas).

Encore une fois, on ne peut que regretter que seules les dernières moutures d'Android 5.1.1 et 6.0.1 soient concernées, laissant sur le carreau tous les autres terminaux. Et encore, cela ne sera valable que pour les smartphones qui sont encore mis à jour par leur constructeur. Dans tous les cas, les images AOSP seront disponibles d'ici deux jours maximum.