Au début du mois, Android a publié deux nouveaux bulletins de sécurité pour décembre, avec Google soulignant le fait que les utilisateurs d’Android qui peuvent installer les mises à jour de sécurité ce mois-ci, doivent le faire dès que possible afin de bénéficier des atténuations et des correctifs pour 47 vulnérabilités, et ce au niveau de tous les appareils mobiles.
À partir d’octobre dernier, Google a commencé à intégrer les mises à jour de sécurité de Pixel et Nexus au sein de son propre bulletin supplémentaire. Ainsi, ces correctifs devront être installés en plus des mises à jour de sécurité mensuelles de base pour Android. Les utilisateurs de ces appareils ont 48 correctifs supplémentaires ce mois-ci, en plus de la mise à jour de sécurité de décembre.
Dix des vulnérabilités de base sur Android ont été jugées critiques et, comme les mises à jour de sécurité des mois précédents, de nombreuses vulnérabilités critiques affectent Android Media Framework. Google est, comme d’habitude, plutôt discret concernant les détails sur ces vulnérabilités, bien qu’il fait état de la pire des vulnérabilités de Media Framework ce mois-ci, qui pourrait…
…permettre à un cybercriminel, à distance, d’utiliser un fichier spécialement conçu pour exécuter un code arbitraire, dans le contexte d’un processus avec privilèges.
En clair, cela ressemble à ce qu’on appelle souvent un “click-to-pwn“, dans lequel on incite un utilisateur à ouvrir un fichier, en apparence inoffensif, afin de prendre le contrôle de l’appareil.
De même, le bug critique au niveau du système permettrait …
…à un cybercriminel à proximité d’exécuter un code arbitraire dans le contexte d’un processus avec privilèges.
Cela semble équivalent, mais “à proximité” se traduit généralement par “dans la zone de réception radio”, ce qui signifie qu’il s’agirait d’une sorte de faille au niveau du Bluetooth ou du Wi-Fi. Encore une fois, le “processus avec privilèges” implique plus que la simple prise en charge d’une seule application (les applications Android fonctionnent généralement comme des utilisateurs individuels, de sorte que l’application X ne peut pas lire les données de l’application Y, que ce soit par accident ou par conception).
Si vous remarquez peut-être un schéma ici,. Il est vrai que l’exécution de code à distance (RCE) semble être le thème privilégié de la plupart des vulnérabilités critiques ce mois-ci. En fait, neuf parmi les dix sont des RCE, et la plupart des vulnérabilités, ayant été jugées élevées, pouvaient entraîner l’élévation de privilèges ou un déni de service (dans le bulletin Pixel/Nexus, la plupart des vulnérabilités répertoriées sont modérées, avec quelques-unes seulement qui sont élevées).
La plupart des vulnérabilités critiques ce mois-ci affectent les versions Android remontant à Nougat, version 7 (la dernière version est Oreo, maintenant passée à 8.1), et de nombreuses vulnérabilités élevées sont encore plus anciennes, nous ramenant à la version 5.1.1. Ce ne sont pas seulement les composants et le code générés par Google qui sont affectés ici, car un certain nombre de fournisseurs de composants, y compris NVIDIA et Qualcomm, sont également intégrés dans ces correctifs.
Si vous avez acheté votre appareil Android directement auprès de Google, et que vous ne l’avez pas encore patché, faites-le… le plus vite possible !
Pour les autres, c’est toujours la même rengaine, en espérant que les opérateurs de téléphonie déploieront ces mises à jour de sécurité rapidement !
Liens utiles :
Billet inspiré de What’s in your Android’s December security update?, sur Sophos nakedsecurity.