Ça y est : Android 11 est désormais disponible dans sa version stable, c’est-à-dire celle pour le grand public. Et déjà, les premiers correctifs de sécurité pour la nouvelle version majeure du système d’exploitation mobile de Google arrivent. C’est ce que souligne le bulletin de sécurité d’octobre d’Android, avec 19 mises à jour ciblant la version open source d’Android 11 (AOSP 11).
Pour l’essentiel, ces patches ciblent des dysfonctionnements du système, dont un est jugée très grave par Google : cette vulnérabilité « pourrait permettre à un attaquant distant, au moyen d’une liaison spécialement prévue à cet effet, d’avoir accès à des autorisations supplémentaires » dans le smartphone, et par conséquent d’accéder à des données ou des options en principe hors d’atteinte.
Il est à noter que ces 19 correctifs pour Android ne sont pas spécifiquement réservés à la version 11 de l’OS. Selon les circonstances, les générations précédentes (8, 8.1, 9 et 10) y ont droit aussi. Outre le système d’exploitation, ces mises à jour résolvent des soucis dans l’environnement d’exécution Runtime, dans le framework donnant accès aux API, et dans le framework multimédia.
48 failles concernées par le bulletin d’octobre
De façon générale, le bulletin de sécurité d’Android pour octobre mentionne un total de 48 vulnérabilités ayant un degré de dangerosité varié. La grande majorité est classée au rang de faille grave, avec 41 failles. 6 autres atteignent le palier le plus élevé, à savoir le niveau critique. Un seule est qualifiée de modérée. L’échelle de classification des risques utilisée par Google ne comporte que trois seuils.
La classification d’une faille respecte une procédure bien particulière, en fonction de l’effet que celle-ci provoquerait si elle était exploitée, à supposer que les mesures d’atténuation d’Android soient sans effet, mais aussi de l’effort qu’un attaquant doit déployer pour y parvenir. Par exemple, la difficulté n’est pas du tout la même si l’attaque se fait à distance ou si elle requiert un accès physique au terminal.
Google ne fait mention d’aucune exploitation active de l’une de ces vulnérabilités — le cas échéant, la firme de Mountain View aurait vraisemblablement déployé un patch dédié hors de son cycle habituel de mises à jour. Reste que prudence étant mère de sûreté, l’attitude la plus sage est d’appliquer le correctif dès que possible — c’est-à-dire dès que le fabricant de votre smartphone le diffuse auprès de ses clients.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !