Si vous possédez un appareil Google Pixel, cette mise à jour Android sera disponible sous un jour ou deux, obligeant tous ceux disposant des niveaux de correctifs 2019-07-01 et 2019-07-05 (la signification de ces dates est expliquée dans un précèdent article) sous Android 7, 8 ou 9 à attendre quelques semaines voire quelques mois, avant de pouvoir se mettre à jour.
Comme d’habitude, la série de correctifs du mois de juillet traite des failles dans des zones importantes d’Android, notamment les systèmes, les frameworks, les bibliothèques et les nombreux composants de Qualcomm, y compris les logiciels de type closed-source.
Toutefois, comme c’est le cas depuis quelques mois, il s’agit du media framework qui fait l’objet d’une quantité importante de correctifs censés traiter trois bugs d’exécution de code à distance (RCE) considérés comme critiques.
Il s’agit de CVE-2019-2107, CVE-2019-2106 (affectant Android 7 et 8) et de CVE-2019-2109 (qui concerne uniquement Android 9).
CVE-2019-2111 dans le système Android est une autre RCE critique, avec les failles critiques restantes liées aux composants closed-source de Qualcomm.
Contrairement au Patch Tuesday de Microsoft, Google fournit rarement beaucoup de détails sur les failles de manière individuelle lors de la première publication de la mise à jour Android, en se limitant à la généralisation suivante :
La vulnérabilité la plus grave de cette mise à jour pourrait permettre à un attaquant distant utilisant un fichier spécialement conçu d’exécuter du code arbitraire dans le contexte d’un processus privilégié.
Google reste aussi vague principalement parce que :
Nous n’avons eu aucun signalement d’exploitation en cours au niveau de clients ou d’abus quelconque s’appuyant sur les problèmes récemment signalés.
Toute personne intéressée pour en savoir un peu plus à ce sujet devra vérifier les vulnérabilités CVE dans la NVD (US National Vulnerability Database) américaine dans une semaine ou deux, lorsque davantage d’informations auront été ajoutées concernant chaque vulnérabilité.
En parallèle, les éditeurs publient leurs propres avis qui contiennent souvent davantage d’informations spécifiques concernant l’appareil : vous pouvez consulter les avis de mise à jour Android de juillet 2019 pour Samsung, Nokia, Motorola, LG et Huawei.
Huawei
Si vous possédez un appareil Huawei, ceux-ci devraient recevoir la mise à jour de ce mois-ci sans problème. En ce qui concerne les mises à jour publiées après le mois d’août, l’entreprise devrait faire une annonce prochainement (les utilisateurs trouveront plus d’informations sur le site web de Huawei).
Selon la version d’Android, le niveau de correctif d’un appareil (2019-07-01 ou 2019-07-05) peut être déterminé dans Paramètres> À propos du téléphone> Informations sur le logiciel/Niveau correctif sécu. Android. Sous Android 9, sélectionnez Paramètres> Système> Paramètres Avancés> Mises à jour du système.
Billet inspiré de Patch Android! July 2019 update fixes 9 critical flaws, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.