En étudiant les correctifs de sécurité Android du mois de novembre, vous remarquerez qu’il y a beaucoup de choses à corriger !
Au total, 36 vulnérabilités se sont vues attribuer une CVE et 17 autres concernent des composants Qualcomm plutôt qu’Android lui-même.
Dans Android, quatre sont critiques et 13 sont considérées comme importantes. La CVE-2018-9527 mérite d’être plus particulièrement pointer du doigt, tout simplement parce qu’il s’agit d’une vulnérabilité d’exécution de code à distance (RCE) affectant toutes les versions d’Android 7.0 (Nougat).
Les autres RCE sont les CVE-2018-9531 et CVE-2018-9521, bien que les deux concernent la version 9.0 (Pie), qui affecte donc principalement les appareils commercialisés depuis l’été.
la CVE-2018-9531 s’avère être l’une des nombreuses CVEs issues de la bibliothèque Libxaac, qui, selon Google, a été qualifié d’”expérimental” et “n’est plus inclus dans les builds de production d’Android”.
En laissant de côté les failles supplémentaires ajoutées au mix de ce mois-ci par Qualcomm, le mois de novembre est très similaire à tous les autres mois de l’année écoulée, à savoir beaucoup de correctifs de sécurité Android, exactement ce que nous attendions !
La partie un peu plus compliquée
Cependant, comme il s’agit d’Android, les choses ne sont jamais aussi simples, car la présence de ces correctifs sur votre appareil (leur présence éventuelle ou non) dépendront de plusieurs facteurs.
L’un des facteurs est que les correctifs de sécurité Android du mois de novembre concernent les versions 7.0 et ultérieures : les appareils livrés avec cette version après le mois d’août 2016 ou mis à niveau ultérieurement à partir d’une version antérieure.
En d’autres termes, si votre appareil utilise Android 6.x, les trois années durant lesquelles Google s’était engagé à prendre en charge votre équipement avec des correctifs de sécurité Android se sont terminées en septembre et vous vous retrouvez donc livré à vous-même !
Un autre facteur est la rapidité avec laquelle le fabricant de l’appareil ou le réseau mobile parviendra à mettre la mise à jour de novembre à la disposition des clients.
En 2017, pour accélérer les choses et faire oublier le processus de mise à jour plutôt effrayant des années passées, Google avait lancé un projet appelé Project Treble, qui permettait aux fournisseurs d’installer des correctifs de sécurité Android sans avoir à actualiser le système d’exploitation dans son intégralité.
Malheureusement, les fournisseurs, autres que Google, peuvent prendre de un à plusieurs mois pour les installer, sans oublier qu’il semblerait même que certains fournisseurs mentent au sujet de la version exacte du correctif.
Il est possible que le retard ait quelque chose à voir avec la différence entre les mises à jour de la structure Android (celle gérée par Google lui-même, de plus en plus par le biais de ses propres serveurs de firmware over-the-air) et celles relatives aux composants matériel et logiciel du fournisseur pour chaque appareil.
À cette fin, les mises à jour mensuelles d’Android fonctionnent sur deux niveaux de correctifs, l’un identifié le premier jour du mois (par exemple le 1er novembre) et l’autre le 5 du mois (à savoir le 5 novembre). Si votre téléphone mentionne le cinquième jour du mois (Paramètres> À propos de l’appareil> faites défiler jusqu’à Mise à jour logicielle), cela signifie que vous disposez des mises à jour du Framework et celles du fournisseur pour le mois en cours.
Si, toutefois, vous voyez le premier jour du mois, cela signifie que vous disposez des mises à jour du Framework pour ce mois-ci mais que les mises à jour spécifiques au fournisseur sont celles du mois précédent (nous vous avions dit que c’était un peu compliqué !).
Contrairement à Apple avec sa gamme d’appareils développés par ses soins, les appareils Android sont fabriqués par de nombreux fournisseurs, chacun ayant différents modèles utilisant différentes versions d’Android.
Pour l’instant, le rêve de tous les appareils Android de bénéficier d’une mise à jour mensuelle garantissant le traitement des vulnérabilités de sécurité se rapproche, mais ce dernier semble toujours, de manière frustrante, hors de portée !
Billet inspiré de Android November update fixes flaws galore, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.