Mise à jour Android : les correctifs d’Avril traitent trois failles critiques

La mise à jour Android d’avril vient d’arriver et ce mois-ci le devant de la scène est occupé par deux correctifs critiques de type CVE, parmi 11 autres concernant toute personne disposant d’un appareil Android fonctionnant avec les versions 7, 8 et 9.

La bonne nouvelle est que, du moins selon Google, aucune des failles observées ce mois-ci n’a été exploitée. Cela pourrait bien sûr changer, c’est pourquoi l’installation des mises à jour doit être une priorité dès qu’elles seront très prochainement disponibles.

Les deux premières vulnérabilités critiques sont désignées par CVE-2019-2027 et CVE-2019-2028 et concernent toutes les versions 7.x, 8.x et 9.0 du noyau AOSP, la partie de l’OS qui est partagée par toutes les applications sous Android.

Ces deux vulnérabilités sont de type RCE (Remote Code Execution) dans la structure média déjà souvent corrigée, l’une et l’autre pouvant permettre à un attaquant d'”exécuter du code arbitraire dans le contexte d’un processus privilégié”.

Le dernier bug critique se dénomme CVE-2019-2029, une autre RCE affectant toutes les versions à partir de la version 7.x et ultérieure, qui sera envoyée prochainement aux utilisateurs avec son correctif (voir ci-dessous l’explication plus détaillée).

Les huit autres failles AOSP sont toutes considérées comme hautement prioritaires, y compris six failles d’élévation de privilège (EoP) et trois autres de divulgation d’informations.

Qualcomm

Comme d’habitude, Qualcomm reçoit une petite rafale de correctifs, dont 30 concernent des composants open-source et 44 autres des logiciels propriétaires. Le premier groupe comprend une faille critique et d’autres considérées comme très critiques. La seconde comprend six failles critiques, le reste étant de priorité élevée.

L’avantage avec la mise à jour Android mensuelle est que les utilisateurs qui l’installent correctement règlent un grand nombre de problèmes de sécurité importants qui auraient pu rester actifs des mois, voire des années.

Le système déroutant de mise à jour Android

Si vous utilisez Android 7 ou une version ultérieure, la dernière mise à jour apparaîtra sous le nom “1er avril 2019” ou “5 avril 2019” dans Paramètres>À propos du téléphone>Informations sur le logiciel>Niveau correctif sécurité Android.

Bien que récemment annoncé, la date de disponibilité réelle pour être téléchargée dépend du téléphone Android que vous possédez.

S’il s’agit de l’un des smartphones Pixel de Google, les correctifs devraient être disponibles presque immédiatement. Pour les autres fabricants, cela peut prendre de quelques semaines à un mois ou deux.

Par exemple, un téléphone que j’ai en ma possession pour mes tests utilise Android 8.1, mais depuis avril 2019, son niveau de correctif affiche encore la date du “1er décembre 2018”. Comme les fabricants ont désormais pour tâche de proposer eux-mêmes des mises à jour, ce n’est donc plus dans les missions de Google de le faire.

Quelle est la différence entre les deux dates de correctif ?

Si le niveau de correctif de sécurité de votre appareil est fixé au premier jour du mois (c’est-à-dire le 1er avril), cela signifie que vous disposez d’une mise à jour Android jusqu’à ce mois-là, mais que le fabriquant ne proposera une mise à jour que jusqu’au mois précédent (c’est-à-dire mars).

Si vous avez la chance de voir s’afficher le cinquième jour du mois (le 5 avril), cela signifie que vous disposez des mises à jour de Google et de celles du fabricant de l’appareil.

D’un point de vue sécurité, faire partie des premiers à installer ces mises à jour n’est pas aussi désavantageux que cela en a l’air car les failles les plus précieuses que recherchent les attaquants sont toujours celles qui s’appliquent à tous les appareils, et pas simplement à celles d’un fabriquant spécifique. L’important est de recevoir les mises à jour aussi souvent et rapidement que possible.

Billet inspiré de Patch Android now! April updates fixes three critical flaws, sur Sophos nakedsecurity.