Google a publié sa liste mensuelle de failles de sécurité corrigées dans Android. On trouve une cinquantaine de brèches colmatées, dont 15 tout de même sont considérées comme critiques. Malheureusement, pour des raisons de calendrier, la vulnérabilité Dirty Cow reste ouverte pour l’instant.
Dans le sillage de Microsoft, un nombre croissant d’entreprises a mis en place des roulements pour leurs mises à jour. Il s’agissait initialement d’une demande pressante des entreprises, car les correctifs survenaient simplement quand ils étaient prêts. Google fait de même et publie depuis longtemps des mises à jour sur un rythme mensuel, même si ce processus n’a pour beaucoup été mis en lumière qu’avec la faille Stagefright.
48 failles, dont 15 critiques
Premier lundi du mois oblige, Google a donc publié sa nouvelle salve de correctifs hier soir. Il est plus exact de dire que ces correctifs ont été rendus publics, car ils sont systématiquement envoyés aux constructeurs un mois avant pour qu’ils aient le temps de les adapter à leurs propres appareils. De son côté, Google propose en même temps des images complètes et OTA pour ses smartphones et tablettes en cours de support. Les récents Pixel (XL) font d’ailleurs leur entrée dans la liste.
En tout, ce sont 48 failles qui sont ainsi corrigées, soit le même nombre que le mois dernier. 15 de ces failles sont critiques et concernent des brèches dans des composants aussi variés que le Mediaserver (souvent l’objet de correctifs), la bibliothèque libzipfile, le système de fichier du kernel, le pilote pour le chiffrement de Qualcomm et dans un certain nombre d’autres pilotes.
Dirty Cow n'a pas encore de correctif disponible sur Android
Il y a pourtant une absence notable dans la liste fournie par Google : Dirty Cow. Derrière ce nom presque amusant – qui signifie en fait « dirty copy on write » - se cache une faille vieille de neuf ans dans le noyau Linux, repris par Google pour Android. Or, le code responsable de cette faille a été intégré peu de temps avant que la firme ne récupère le kernel. La vulnérabilité est donc présente dans toutes les versions du système mobile.
La faille est doublement dangereuse. Elle était ainsi déjà exploitée lorsque ses détails ont été révélés le mois dernier, d’autant que ladite exploitation est simple à mettre en œuvre. D’autre part, le pirate qui parvient à s’infiltrer via Dirty Cow obtient les droits root sur le système. Sur Android, cela signifie une prise de contrôle de l’appareil. Mais puisque la faille touchait plus globalement Linux, il y avait un danger important pour les serveurs.
À la publication des informations sur la faille, les principaux éditeurs de distributions Linux avaient cependant déjà mis à disposition les correctifs correspondants. Quant à Android, le roulement mis en place ne permet en fait pas la diffusion du patch. Les mises à jour à disposition sont en fait celles corrigées le mois dernier. Google a d'ailleurs confirmé à Ars Technica que le correctif attendu n'arriverait que le mois prochain, avec le nouveau lot mensuel.
Les premiers correctifs pour les Pixel
Comme indiqué, les récents Pixel sont pour la première fois dans la boucle des mises à jour. Notez que les liens fournis concernent, comme d’habitude, les images complètes et OTA à installer manuellement. Nous avions d’ailleurs détaillé la procédure dans une précédente actualité. Chaque téléchargement s’applique sur la dernière révision disponible d’Android pour l’appareil choisi : 7.1 pour les Pixel, 7.0 pour tous les autres.
On rappellera que les téléchargements automatiques OTA ne se déclencheront, eux, qu'un peu plus tard.
- Pixel : Image d'usine – OTA
- Pixel XL : Image d'usine – OTA
- Nexus 6P : Image d'usine – OTA
- Nexus 5X : Image d'usine – OTA
- Nexus 6 : Image d'usine – OTA
- Nexus 9 (WiFi) : Image d'usine – OTA
- Nexus Player : Image d'usine – OTA
- Pixel C : Image d'usine – OTA
Attention, en fonction des appareils, il peut exister plusieurs versions, notamment pour les Pixel. Google indique (enfin) le mois correspondant à la version, mais il faudra prendre soin de sélectionner le bon fichier, car il existe des variantes américaine, européenne et spécifique à Verizon.
