Le bulletin de sécurité d'Android du mois de juillet est bien garni, avec plus d'une centaine de failles. Certaines concernent directement Android, alors que d'autres sont liées à des composants précis et ne touchent pas tous les terminaux.
Depuis maintenant presque un an, Google publie des mises à jour mensuelles pour Android afin de corriger des failles de sécurité sur une base prévisible. La fournée de juillet est très conséquente puisqu'il est question de 107 failles, excusez du peu. Autant dire qu'il est recommandé de se mettre à jour rapidement... du moins pour ceux qui le peuvent.
Une centaine de failles, réparties en deux groupes
Google explique qu'il a divisé son bulletin en deux parties, identifiées de la manière suivante : 2016-07-01 et 2016-07-05. La première comprend des correctifs qui concernent Android au sens large et touchent potentiellement tous les terminaux, tandis que la seconde se concentre sur des brèches liées à des composants particuliers provenant de chez Qualcomm, NVIDIA, MediaTek, etc.
Le lot estampillé 2016-07-01 comble plus d'une trentaine de failles, dont 8 sont considérées comme critiques puisqu'elles permettent d'exécuter du code à distance via Mediaserver, OpenSSL ou BoringSSL suivant les cas. Le second lot est plus conséquent avec pas moins de 75 failles, dont 12 critiques.
Qualcomm occupe une bonne place avec, pêle-mêle, des élévations de privilèges via une vulnérabilité au niveau du GPU ou le « performance component ». Pour rappel, le fabricant de SoC était récemment sur la sellette pour un problème lié au chiffrement intégral d'Android. De leur côté, les pilotes vidéo de NVIDIA et Wi-Fi de MediaTek contiennent également des brèches pouvant mener conduire aux mêmes conséquences. Tous les détails se trouvent par ici.
Mise à jour d'usine disponible pour certains Nexus, pour les autres...
Comme toujours, les images d'usine sont disponibles sur cette page pour les terminaux Nexus encore mis à jour par Google. Pour AOSP (Android Open Source Project), le code source sera disponible d'ici 48 heures précise le géant du Net. Ce dernier ajoute enfin que ses partenaires ont été notifiés de l'ensemble de ces bulletins de sécurité le 6 juin au plus tard.
Mais le problème avec les mises à jour de sécurité de Google est toujours le même : seules les dernières moutures du système d'exploitation bénéficient des correctifs et il faut ensuite que les fabricants de smartphones et de tablettes les proposent à leur client... ce qui peut prendre du temps, voire ne jamais arriver suivant les cas.
