Google a publié sa liste mensuelle de failles de sécurité corrigées dans Android. On trouve une cinquantaine de brèches colmatées, dont 15 tout de même sont considérées comme critiques. Malheureusement, pour des raisons de calendrier, la vulnérabilité Dirty Cow reste ouverte pour l’instant.
Dans le sillage de Microsoft, un nombre croissant d’entreprises a mis en place des roulements pour leurs mises à jour. Il s’agissait initialement d’une demande pressante des entreprises, car les correctifs survenaient simplement quand ils étaient prêts. Google fait de même et publie depuis longtemps des mises à jour sur un rythme mensuel, même si ce processus n’a pour beaucoup été mis en lumière qu’avec la faille Stagefright.
48 failles, dont 15 critiques
Premier lundi du mois oblige, Google a donc publié sa nouvelle salve de correctifs hier soir. Il est plus exact de dire que ces correctifs ont été rendus publics, car ils sont systématiquement envoyés aux constructeurs un mois avant pour qu’ils aient le temps de les adapter à leurs propres appareils. De son côté, Google propose en même temps des images complètes et OTA pour ses smartphones et tablettes en cours de support. Les récents Pixel (XL) font d’ailleurs leur entrée dans la liste.
En tout, ce sont 48 failles qui sont ainsi corrigées, soit le même nombre que le mois dernier. 15 de ces failles sont critiques et concernent des brèches dans des composants aussi variés que le Mediaserver (souvent l’objet de correctifs), la bibliothèque libzipfile, le système de fichier du kernel, le pilote pour le chiffrement de Qualcomm et dans un certain nombre d’autres pilotes.
Dirty Cow n'a pas encore de correctif disponible sur Android
Il y a pourtant une absence notable dans la liste fournie par Google : Dirty Cow. Derrière ce nom presque amusant – qui signifie en fait « dirty copy on write » - se cache une faille vieille de neuf ans dans le noyau Linux, repris par Google pour Android. Or, le code responsable de cette faille a été intégré peu de temps avant que la firme ne récupère le kernel. La vulnérabilité est donc présente dans toutes les versions du système mobile.
La faille est doublement dangereuse. Elle était ainsi déjà exploitée lorsque ses détails ont été révélés le mois dernier, d’autant que ladite exploitation est simple à mettre en œuvre. D’autre part, le pirate qui parvient à s’infiltrer via Dirty Cow obtient les droits root sur le système. Sur Android, cela signifie une prise de contrôle de l’appareil. Mais puisque la faille touchait plus globalement Linux, il y avait un danger important pour les serveurs.
À la publication des informations sur la faille, les principaux éditeurs de distributions Linux avaient cependant déjà mis à disposition les correctifs correspondants. Quant à Android, le roulement mis en place ne permet en fait pas la diffusion du patch. Les mises à jour à disposition sont en fait celles corrigées le mois dernier. Google a d'ailleurs confirmé à Ars Technica que le correctif attendu n'arriverait que le mois prochain, avec le nouveau lot mensuel.
Les premiers correctifs pour les Pixel
Comme indiqué, les récents Pixel sont pour la première fois dans la boucle des mises à jour. Notez que les liens fournis concernent, comme d’habitude, les images complètes et OTA à installer manuellement. Nous avions d’ailleurs détaillé la procédure dans une précédente actualité. Chaque téléchargement s’applique sur la dernière révision disponible d’Android pour l’appareil choisi : 7.1 pour les Pixel, 7.0 pour tous les autres.
On rappellera que les téléchargements automatiques OTA ne se déclencheront, eux, qu'un peu plus tard.
- Pixel : Image d'usine – OTA
- Pixel XL : Image d'usine – OTA
- Nexus 6P : Image d'usine – OTA
- Nexus 5X : Image d'usine – OTA
- Nexus 6 : Image d'usine – OTA
- Nexus 9 (WiFi) : Image d'usine – OTA
- Nexus Player : Image d'usine – OTA
- Pixel C : Image d'usine – OTA
Attention, en fonction des appareils, il peut exister plusieurs versions, notamment pour les Pixel. Google indique (enfin) le mois correspondant à la version, mais il faudra prendre soin de sélectionner le bon fichier, car il existe des variantes américaine, européenne et spécifique à Verizon.
Commentaires (31)
#1
Bah bravo Google ! Ils sont où les 7 jours de délai pour corriger les failles hein ?
" />
#2
Je les vois pas chialer que ça ait été mis à disposition …..
" />
eux
#3
C’est fini pour le 5 ?
" />
#4
CopperheadOS (une ROM AOSP) est à jour sur la dernière version des patchs ;) :
 https://twitter.com/CopperheadOS/status/795758123021725696
#5
#6
Et le Nexus 5 ? Il fonctionne toujours bien ce telephone !
#7
Ce qui est drôle c’est que mon custom kernel sur le S7 est déjà patché..;
#8
Le bon lien : https://twitter.com/CopperheadOS/status/795758123021725696
#9
Pas de soucis de mon coté ( Nexus 5x sous PureNexus avec ElementalX )
la plupart des customs kernels sérieux ont patché cette faille depuis un moment.
#10
Carton rouge à Google pour le suivi du Nexus 5. C’est quoi ce bordel avec Android là ? Des failles tous les mois, des smartphones vulnérables encore dans la nature et aucun suivi derrière.
#11
C’est la chenille qui redémarre…Le rock m’appelle !
" />
#12
#13
On peut difficilement reprocher à Google son manque de suivi, c’est sans doute le meilleur sur Android. Maintenant ça me saoule aussi pour le Nexus 5, on parle sécurité pas du confort d’avoir la dernière version.
#14
Tu découvres Android ou quoi ? 😂😂
#15
Une faille critique non corrigée, toujours le même bazar pour les mises à jour, ah par contre pour jouer les cacous et balancer publiquement les failles des concurrents, là, il y a du monde …
Des champions.
#16
Je ne découvre pas Android mais c’est quoi le plan à long terme ?
Que je me fasse infecter dans les prochaines semaines sans autre solution que de perdre des heures à la recherche et à l’installation d’une ROM alternative ? J’en ai un peu marre de tout ça, je voudrais un truc qui marche et dure longtemps sans perdre de temps à faire les mises à jour manuellement, je veux un smartphone qui se met à jour comme mon PC sous Windows, sans souci, même si c’est moins le cas depuis Windows 10.
#17
Tiens une question qui me taraude : quand on a un smartphone non Google, que l’on est root dessus et que le constructeur n’est pas un rapide ou alors ne fait plus de mise à jour, est-il quand même possible d’intégrer ces patchs de sécurité mensuels ? Et si oui comment ? Merci
" />
#18
Ça s’appelait BlackBerry 10 et Windows Phone ^^.
Soit dis en passant je n’ai pas eu réponse précise mais si BlackBerry veux se démarque sur Android il serait envisageable qu’il fassent des maj plus longtemps que la concurrence.. Ou tout au moins les bulletins de sécurité.
A voir, à réfléchir
#19
#20
Mon BlackBerry Priv a en effet reçu sa mise à jour 👌
#21
ca dépend du téléphone et du mec qui se dévoue à prendre le téléphone sous son aile.
si tu prends la bonne rom et le bon kernel, tu le vois au suivi du mec au fil des semaines et mois, années, ainsi que sur le retour des utilisateurs.
ca prend du temps de faire confiance, peut être il te faudra deux ou trois essais de roms mais après tu seras bien plus tranquille.
Je précise que je parle du suivi sur le forum XDA
#22
j’ai envie de dire +1
ca balance sur la concurrence mais ça ne nettoie pas l’écurie.
#23
le mieux restera toujours le Do It Yourself. sans faire de prosélitisme Android est le plus proche de cela.
La communauté ArchLinux en est un bon exemple, dés qu’il y a une faille corrigeable, le code pour patché est fourni en mode texte sur les forums et t’as plus qu’a l’appliquer. De nos jours on ne peut plus faire confiance, peu importe la marque ou l’ancienneté, ils ont tous un cahier des charges, un calendrier et des impératifs. ( traduisons par “on s’en fout nous, ca viendra quand ca viendra” )
#24
BlackBerry ne conçoit plus ses smartphones, il délègue la tâches avec des autres constructeurs et ne s’occupe plus que de l’os.
Au paravant il dessinaient, construisaient au Mexique et vendaient. Bref non ils ont toujours des smartphones avec leurs logos
#25
Est ce que Dirty Cow est corrigé sur Cyanogenmod ? Pour le OnePlus One par exemple.
#26
Vu le genre de discussion qu’on a ici, je pense qu’un dossier NXI sur la question (qualité et durée du suivi par marque, que faire une fois la fin du support atteint…) serait le bienvenu
" />
#27
+1 et alors je reprendrais un abonnement NXI. 😉
#28
Attention:
arrêter de fabriquer ≠ arrêter de vendre
C’est juste que désormais BB rebadge des téléphones «venus d’ailleurs».
Ça ne marchera peut-être pas, là n’est pas la question, mais ça n’empêche pas de faire un suivi aussi sérieux que sur les téléphones développés en interne.
Edit: Une grillade du matin, pourquoi pas
#29
#30
Merci pour la réponse.
Le souci, c’est que le device auquel je pense n’aura pas de ROM de la communauté. C’est un PDA professionnel dont les montées de version ont 2-3 ans de retard (c’est classique pour ce genre de produit). Ce qui pose tout de même un gros souci de sécurité lorsqu’ils sont à la fois connectés en 3G et sur le réseau local de l’entreprise….
C’est malheureusement l’un des aspects qui fait que l’on retrouve beaucoup d’iphone et de PDA en entreprises. Au moins, il n’y a pas de délais dans l’application des mises à jour. Mais ce choix impose d’autres contraintes ..