Google a mis en ligne ses nouveaux bulletins mensuels de sécurité, accompagnés des mises à jour idoines. Comme d’habitude, ceux qui possèdent des appareils Nexus sont les premiers servis, Samsung ayant rapidement suivi le mouvement. Les appareils des autres constructeurs devront encore un peu attendre.
Le passage de la faille Stagefright il y aura bientôt un an aura laissé une empreinte durable sur la sécurité du monde de la sécurité sur Android. Après le colmatage des différentes brèches, les constructeurs ont décidé de suivre de plus près les bulletins de sécurité émis par Google, dont le rythme a été rationalisé. Ce qui n’a pas empêché une plainte d’être déposée contre Samsung et les États-Unis d’ouvrir une enquête sur la lenteur de mise à jour des systèmes mobiles.
Six failles critiques, dont deux exploitables à distance
Depuis, comme une horloge, les bulletins mensuels de Google sont attendus de pied ferme. Ils sont accompagnés de mises à jour de sécurité qui commencent invariablement par être proposées aux Nexus. Un ordre logique puisque les autres constructeurs doivent récupérer les données et les adapter à leurs propres appareils, ce qui ajoute un délai.
Les bulletins de juin concernent un lot comptant pas moins de 40 failles, dont six sont décrites comme critiques. Deux vulnérabilités en particulier peuvent être exploitées à distance et sont donc à considérer comme très dangereuses. Seules quatre d’entre elles ont un niveau de dangerosité « modéré », le reste étant classé en « haute ». On y trouve des références à Qualcomm, Broadcom, au Mediaserver, MediaTek, à la couche d’émulation des cartes SD ou encore au Famework UI.
Les Nexus et Samsung mis à jour, le reste plus tard
Comme toujours, ces mises à jour seront très prochainement disponibles en téléchargement OTA sur les appareils Nexus. Ceux qui ne veulent pas attendre peuvent soit récupérer l’image d’usine du système (différente pour chaque appareil), soit la mise à jour séparée en vue d’une installation manuelle. La seconde méthode est bien entendu beaucoup plus rapide. Pour information, les références des builds sont MTC19V pour les Nexus 6P et 5X, MOB30M pour les Nexus 5, 6, 9, 7 (2013) et Player, et MXC89H pour la Pixel C.
On notera également ce mois-ci la publication très rapide chez Samsung des bulletins associés. Il est clairement précisé que ces mises à jour ne concernent que les appareils récents dans un premier temps. Normalement, tous ceux sous Android 5.1.1 et 6.0 doivent à terme recevoir les précieux correctifs.
Quant aux appareils de Sony, LG et les autres, aucun calendrier n’est donné. Il faut patienter en général de quelques jours à quelques semaines. On rappellera d’ailleurs que cette fourchette de temps avait justement été attaquée par BlackBerry, qui indiquait être systématiquement le premier à réagir, en fournissant les mises à jour dès la publication des bulletins. Les informations sont en effet données au moins un mois à l’avance aux constructeurs.
