Selon Google, en haut de la liste des urgences à traiter pour le niveau de patch 2019-12-01 (voir ci-dessous pour de plus amples explications) se trouve CVE-2019-2232, une faille critique affectant les versions Android 8.0, 8.1, 9 et 10.
Selon Google, cette faille pourrait permettre à un attaquant de provoquer un déni de service “permanent” en envoyant aux utilisateurs un message spécialement conçu. L’entreprise ne détaille pas ce que signifie exactement cette description plutôt alarmante, et rien n’indique d’ailleurs que celle-ci soit exploitée, mais les utilisateurs ne voudront certainement faire cette découverte à leurs dépens.
Dans l’ensemble, les mises à jour Android corrige 15 CVE (2019-12-01) et 5 CVE (2019-12-05), avec 22 autres correctifs pour les composants Qualcomm.
Niveau de patch 2019-12-01
Ce niveau de patch affecte la plupart des équipements tiers, à savoir ceux qui ne sont pas fabriqués par Google. Si le niveau de patch sur votre téléphone affiche la date “01” à côté du mois, cela signifie que vous recevrez les mises à jour Android de sécurité jusqu’à cette date (celle-ci étant incluse), c’est-à-dire toutes les mises à jour essentielles.
Trois correctifs, concernant ce niveau de patch, sont considérés comme critiques, mais pour deux d’entre eux, CVE-2019-2222 et CVE-2019-2223, cette criticité ne s’applique qu’aux versions 8.0, 8.1 et 9. Sur Android 10, la classification descend à “élevé”. Cela peut être dû au fait que Android 10 comporte des mitigations supplémentaires ou parce qu’il utilise Project Mainline via lequel certaines mises à jour Android critiques sont installées plus rapidement via Google Play.
Par exemple, la faille de détournement, récemment révélée, qui affectait l’application appareil photo de Google, avait été discrètement corrigée il y a quelque temps via le Play Store.
Niveau de patch 2019-12-05
Si votre appareil spécifie cette date, vous recevrez l’intégralité des correctifs dans le niveau de patch 2019-12-01, plus les cinq CVE supplémentaires et les éléments concernant Qualcomm. Cependant, la vraie différence entre ces deux niveaux de patch ne concerne pas les mises à jour Android à proprement parlé, mais plutôt quand elles seront disponibles. Pour 05, cela devrait être à partir de la première semaine du mois de Décembre, alors que pour 01, cela pourrait être dans des semaines voire des mois.
Vous pouvez le vérifier en allant dans : Paramètres> À propos du téléphone> Mise à jour du logiciel.
Sur Android 9, le chemin est quelque peu différent : Paramètres> Système> Paramètres Avancés> Mise à jour du système.
Notez que les fabricants individuels ajoutent leurs propres mises à jour à celles de Google. Par exemple, pour Samsung, les mises à jour de ce mois-ci sont décrites sur son propre site de mise à jour de sécurité.
Avoir différents niveaux de correctif ainsi que des correctifs distincts pour Qualcomm et les autres fabricants est source de confusion pour les utilisateurs. C’est l’une des raisons pour lesquelles Google a récemment commencé à revoir la manière avec laquelle Android utilisait le noyau Linux qui se trouve être l’élément central, pour rendre les choses plus simples, plus faciles et moins chères pour toutes les personnes concernées.
Au revoir aux Smartphones Pixel
Si vous possédez un Google Pixel ou Pixel XL 2016, la mise à jour de ce mois-ci sera la dernière que ces appareils recevront, prolongeant ainsi leur durée de vie, avec correctifs, d’un mois par rapport à ce qui était initialement prévu.
Pour en savoir plus sur la période de support concernant les autres appareils Google, consultez le tableau présenté sur la page support.
Billet inspiré de Critical DoS messaging flaw fixed in December Android update, sur Sophos nakedsecurity.