Ce sera le dernier patch de cette année pour Android. Google a présenté le 3 décembre le contenu de son nouveau bulletin de sécurité, qui décrit les types de vulnérabilités que son correctif va résoudre. En tout, ce sont 44 failles qui sont traitées, dont la moitié concerne des composants fournis par l’équipementier américain Qualcomm. Le détail du bulletin est consultable à cette adresse.
Comme toujours, la disponibilité du patch dépendra de la stratégie de déploiement de chaque constructeur de smartphones. Certaines marques se débrouillent mieux que d’autres, observe FrAndroid : Google, évidemment, fait la course en tête, du fait de sa position dans l’écosystème Android. OnePlus, Samsung ou encore HTC sont aussi bien placés dans le positionnement d’AOSMark.
Dans le détail, Google liste 3 bugs modérés (dont le point commun est de ne toucher que Android 10), 35 défauts de conception graves et 6 failles critiques. Outre Android 10, les correctifs profitent aux branches 8.0 et 9.0. La vulnérabilité la plus dangereuse « pourrait permettre à un attaquant distant utilisant un message spécialement conçu de provoquer un déni de service permanent ».
Les constructeurs alertés en amont
Pour déterminer la gravité d’une faille, Google évalue « l’effet que l’exploitation de la vulnérabilité pourrait avoir » sur un smartphone. L’entreprise tient aussi compte de la présence ou l’absence de mesures d’atténuation, si elles ont été désactivées ou bien contournées. La dangerosité des failles est hiérarchisée : le rang critique est le plus élevé. Viennent ensuite les seuils haut et modéré.
Parmi les autres types de risques induits par ces failles figurent l’élévation injustifiée de privilèges (ce qui permet d’accéder à des zones sensibles d’Android, et normalement inaccessibles), il y a :
- la prise de contrôle à distance d’un smartphone,
- la récupération de données personnelles à l’insu de son propriétaire
- ou encore le dysfonctionnement du smartphone.
La firme de Mountain View rappelle que ses partenaires industriels qui utilisent Android ont été avertis au moins un mois avant la parution de ce compte-rendu, en principe pour qu’ils aient assez de temps pour prendre toutes les dispositions qui s’avéreraient nécessaires pour protéger leurs clients. Malheureusement, un décalage de plusieurs semaines peut parfois être observé. Quand ce n’est pas plus.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !