La nouvelle édition du bulletin mensuel de sécurité pour Android a été publiée. Et une fois encore, la pêche a été bonne : en ce début du mois d’avril 2019, c’est un total de 89 vulnérabilités qui sont traitées dans le correctif logiciel du système d’exploitation mobile de Google.
Un record a même été établi pour ce début d’année, car les trois bulletins précédents comptaient environ deux fois moins de failles. La grande majorité concerne en fait des composants fournis par l’équipementier Qualcomm. Pas moins de 29 portent sur son service de réseau sans fil (WLAN HOST), tandis que 44 autres ont été relevées dans d’autres pièces conçues par l’entreprise américaine.
89 failles comptabilisées
En termes de criticité, Google a classé 79 de ces failles dans la catégorie « haute » et les 10 dernières dans celle des brèches « critiques ». La firme de Mountain View fait savoir que les partenaires Android « sont informés de tous les incidents au moins un mois avant leur publication ». Toutefois, la disponibilité du patch dépend du calendrier de mise à jour propre à chaque constructeur de smartphones.
Pour déterminer la gravité d’une brèche, Google se base sur « l’effet que l’exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les mesures d’atténuation de la plateforme et du service soient désactivées à des fins de développement ou parce qu’elles ont été contournées avec succès ». Outre les deux niveaux décrits plus haut, il y a aussi un niveau modéré.
Pas d’indication qu’elles sont utilisées
D’après Google, certaines de ces failles peuvent entraîner une élévation injustifiée de privilèges dans le système d’exploitation, ce qui permet de donner à un tiers un accès à certaines portions de l’OS normalement inaccessibles. D’autres peuvent exposer des informations sensibles, ou servir à contrôler secrètement le smartphone à distance.
Bien que nombreuses et graves, ces failles ne sont a priori pas exploitées par des tiers malveillants. Google déclare en tout cas n’avoir aucun élément permettant d’aller dans ce sens. Cela étant, il convient de ne pas attendre que ces brèches soient utilisées : les fabricants « sont encouragés à corriger tous les problèmes dans ce bulletin et à utiliser le dernier niveau de correctif de sécurité », déclare ainsi Google.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !