Malheureusement, comme nous l’avons indiqué en mai, le fabricant de chaque appareil doit décider à quel moment cette mise à jour Android aura lieu, si elle a lieu !
Des mises à jour pour les smartphones Pixel de Google arriveront en ce tout début de mois, traitant des problèmes fonctionnels et fournissant des correctifs de sécurité.
Mais si votre appareil provient d’un autre fabricant, les correctifs Android du mois de juin pourraient apparaître à tout moment entre le mois prochain et la fin de cette année !
Étant donné que les deux niveaux de patch de juin (2019-06-01 et 2019-06-05) ne comprennent que 13 CVE et 9 autres dédiées à Qualcomm, le préjudice peut sembler très négligeable.
Mais si ce même appareil est également passé à côté des mises à jour précédentes, comme c’est le cas pour beaucoup, alors le nombre de correctifs manquants s’élève à des dizaines.
La fragmentation des différentes versions d’Android a amplifié la confusion autour de la mise à jour, ce qui a fait frémir le CEO d’Apple lorsqu’il a mentionné lors de la récente conférence WWDC 2019 que la dernière version d’Android ne fonctionnait que sur 10% des appareils mobiles de Google, contre 85% des iPhones qui utilisaient déjà la dernière version d’iOS.
La mise à jour Android du mois de juin
Malgré le nombre limité de vulnérabilités, le fait que 8 soient marquées comme “critique” et 14 comme “élevée” constitue une raison suffisante pour les installer le plus rapidement possible. Soulignons que 2 parmi celles notées critiques (CVE-2019-2094 et CVE-2019-2095) n’affectent que la version 9.
Sept concernent des élévations de privilège (EoP), quatre concernent des exécutions de code à distance (RCE), laissant les autres failles sans désignation particulière.
De par sa politique, Google ne fournit pas beaucoup de détails sur les failles individuelles, mais mentionne que la plus grave des vulnérabilités de ce mois-ci concerne le media framework qui pourrait permettre :
À un attaquant distant, utilisant un fichier spécialement conçu, d’exécuter du code arbitraire dans le contexte d’un processus privilégié.
Pendant ce temps, CVE-2019-2097 dans le système Android pourrait :
Permettre à un attaquant distant, utilisant un fichier PAC spécialement conçu, d’exécuter du code arbitraire dans le contexte d’un processus privilégié.
Heureusement, selon l’avis émis Google n’a signalé aucun cas d’exploitation de ces sérieuses failles de sécurité.
Quoi faire ?
Quiconque cherche à comprendre la différence entre les deux niveaux de correctifs d’Android devrait lire les explications fournies dans les articles publiés sur les correctifs Android du mois d’avril.
Les fabricants, de manière individuelle, publient souvent leurs propres avis qui offrent souvent des informations plus claires que la mise à jour Android officielle de Google. Par exemple, voici les mises à jour de juin 2019 pour Samsung, Nokia, Motorola, LG et Huawei.
Billet inspiré de Patch Android! June 2019 update fixes eight critical flaws, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.