Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Android : 48 failles corrigées dans les bulletins de novembre, mais pas Dirty Cow

C'est la chenille qui redémarre...
Mobilité 3 min
Android : 48 failles corrigées dans les bulletins de novembre, mais pas Dirty Cow

Google a publié sa liste mensuelle de failles de sécurité corrigées dans Android. On trouve une cinquantaine de brèches colmatées, dont 15 tout de même sont considérées comme critiques. Malheureusement, pour des raisons de calendrier, la vulnérabilité Dirty Cow reste ouverte pour l’instant.

Dans le sillage de Microsoft, un nombre croissant d’entreprises a mis en place des roulements pour leurs mises à jour. Il s’agissait initialement d’une demande pressante des entreprises, car les correctifs survenaient simplement quand ils étaient prêts. Google fait de même et publie depuis longtemps des mises à jour sur un rythme mensuel, même si ce processus n’a pour beaucoup été mis en lumière qu’avec la faille Stagefright.

48 failles, dont 15 critiques

Premier lundi du mois oblige, Google a donc publié sa nouvelle salve de correctifs hier soir. Il est plus exact de dire que ces correctifs ont été rendus publics, car ils sont systématiquement envoyés aux constructeurs un mois avant pour qu’ils aient le temps de les adapter à leurs propres appareils. De son côté, Google propose en même temps des images complètes et OTA pour ses smartphones et tablettes en cours de support. Les récents Pixel (XL) font d’ailleurs leur entrée dans la liste.

En tout, ce sont 48 failles qui sont ainsi corrigées, soit le même nombre que le mois dernier. 15 de ces failles sont critiques et concernent des brèches dans des composants aussi variés que le Mediaserver (souvent l’objet de correctifs), la bibliothèque libzipfile, le système de fichier du kernel, le pilote pour le chiffrement de Qualcomm et dans un certain nombre d’autres pilotes.

Dirty Cow n'a pas encore de correctif disponible sur Android

Il y a pourtant une absence notable dans la liste fournie par Google : Dirty Cow. Derrière ce nom presque amusant – qui signifie en fait « dirty copy on write » - se cache une faille vieille de neuf ans dans le noyau Linux, repris par Google pour Android. Or, le code responsable de cette faille a été intégré peu de temps avant que la firme ne récupère le kernel. La vulnérabilité est donc présente dans toutes les versions du système mobile.

La faille est doublement dangereuse. Elle était ainsi déjà exploitée lorsque ses détails ont été révélés le mois dernier, d’autant que ladite exploitation est simple à mettre en œuvre. D’autre part, le pirate qui parvient à s’infiltrer via Dirty Cow obtient les droits root sur le système. Sur Android, cela signifie une prise de contrôle de l’appareil. Mais puisque la faille touchait plus globalement Linux, il y avait un danger important pour les serveurs.

À la publication des informations sur la faille, les principaux éditeurs de distributions Linux avaient cependant déjà mis à disposition les correctifs correspondants. Quant à Android, le roulement mis en place ne permet en fait pas la diffusion du patch. Les mises à jour à disposition sont en fait celles corrigées le mois dernier. Google a d'ailleurs confirmé à Ars Technica que le correctif attendu n'arriverait que le mois prochain, avec le nouveau lot mensuel.

Les premiers correctifs pour les Pixel

Comme indiqué, les récents Pixel sont pour la première fois dans la boucle des mises à jour. Notez que les liens fournis concernent, comme d’habitude, les images complètes et OTA à installer manuellement. Nous avions d’ailleurs détaillé la procédure dans une précédente actualité. Chaque téléchargement s’applique sur la dernière révision disponible d’Android pour l’appareil choisi : 7.1 pour les Pixel, 7.0 pour tous les autres.

On rappellera que les téléchargements automatiques OTA ne se déclencheront, eux, qu'un peu plus tard.

Attention, en fonction des appareils, il peut exister plusieurs versions, notamment pour les Pixel. Google indique (enfin) le mois correspondant à la version, mais il faudra prendre soin de sélectionner le bon fichier, car il existe des variantes américaine, européenne et spécifique à Verizon.

31 commentaires
Avatar de Jean Sébastien Gwak INpactien
Avatar de Jean Sébastien GwakJean Sébastien Gwak- 08/11/16 à 15:40:21

Signaler ce commentaire aux modérateurs :

Bah bravo Google ! Ils sont où les 7 jours de délai pour corriger les failles hein ?

Avatar de atomusk INpactien
Avatar de atomuskatomusk- 08/11/16 à 15:41:13

Signaler ce commentaire aux modérateurs :

Je les vois pas chialer que ça ait été mis à disposition .....

eux

Édité par atomusk le 08/11/2016 à 15:41
Avatar de Athropos INpactien
Avatar de AthroposAthropos- 08/11/16 à 15:48:54

Signaler ce commentaire aux modérateurs :

C'est fini pour le 5 ?

Avatar de MCCob Abonné
Avatar de MCCobMCCob- 08/11/16 à 15:49:32

Signaler ce commentaire aux modérateurs :

CopperheadOS (une ROM AOSP) est à jour sur la dernière version des patchs ;) :
 
&nbsphttps://twitter.com/CopperheadOS/status/795758123021725696 

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 08/11/16 à 15:56:13

Signaler ce commentaire aux modérateurs :

MCCob a écrit :

CopperheadOS (une ROM AOSP) est à jour sur la dernière version des patchs ;) :
 
 https://twitter.com/CopperheadOS/status/795758123021725696 

Désolé, cette page n'existe pas !

Avatar de code INpactien
Avatar de codecode- 08/11/16 à 15:58:15

Signaler ce commentaire aux modérateurs :

Et le Nexus 5 ? Il fonctionne toujours bien ce telephone !

Avatar de dylem29 Abonné
Avatar de dylem29dylem29- 08/11/16 à 15:59:50

Signaler ce commentaire aux modérateurs :

Ce qui est drôle c'est que mon custom kernel sur le S7 est déjà patché..;

Avatar de MCCob Abonné
Avatar de MCCobMCCob- 08/11/16 à 16:04:55

Signaler ce commentaire aux modérateurs :

Le bon lien :&nbsphttps://twitter.com/CopperheadOS/status/795758123021725696

Avatar de -L3M- INpactien
Avatar de -L3M--L3M-- 08/11/16 à 16:12:23

Signaler ce commentaire aux modérateurs :

Pas de soucis de mon coté ( Nexus 5x sous PureNexus avec ElementalX )

la plupart des customs kernels sérieux ont patché cette faille depuis un moment.

Avatar de Vesna Abonné
Avatar de VesnaVesna- 08/11/16 à 16:37:42

Signaler ce commentaire aux modérateurs :

Carton rouge à Google pour le suivi du Nexus 5. C'est quoi ce bordel avec Android là ? Des failles tous les mois, des smartphones vulnérables encore dans la nature et aucun suivi derrière.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4