C’est le début du mois, Google a donc publié son bulletin de sécurité mensuel pour les appareils Android, détaillant toutes les vulnérabilités traitées dans la mise à jour de ce mois-ci. Bien qu’il ne s’agisse pas d’une longue liste de vulnérabilités, elles sont presque classées “High” ou “Critical”.
NB : Si vous voulez savoir la signification des mentions “High”, “Critical” et “Moderate” en termes de gravité, jetez un œil à la page Security Updates and Resources d’Android.
Le bulletin Android comporte deux niveaux de correctifs, un pour le 1er octobre 2017 et un autre pour le 5 octobre 2017.
La première partie du bulletin indique que les vulnérabilités les plus graves sont liées à Android Media Framework. Le bulletin ne détaille pas l’impact potentiel de chaque vulnérabilité listée, mais il indique tout de même que la faille la plus grave dans Media Framework pourrait permettre l’exécution de code arbitraire dans le “contexte d’un processus privilégié”.
Plus simplement, le Media Framework traite les images et les vidéos pour les afficher à l’écran, et ce n’est pas la première fois qu’il fait l’objet d’un patch, le Bulletin Android du mois de juillet 2017 avait déjà mentionné un certain nombre de problèmes liés au Media Framework.
Certaines des autres vulnérabilités, encore une fois les détails sont mentionnés de manière un peu vague dans le bulletin, auraient permis une élévation des privilèges, ouvrant une brèche pour des applications malveillantes ou à l’exécution de code à distance tant redoutée. L’une des vulnérabilités critiques, CVE-2017-0809, affecte les versions Android 4.4 à 8.0.
L’histoire assez identique pour la deuxième partie du bulletin (5 octobre 2017), où tout est classé comme “Critical” et “High”. Les quelques détails cités dans le bulletin indiquent également que ces vulnérabilités auraient pu permettre des exécutions de code à distance, si elles avaient été exploitées.
Nouveau ! Des bulletins de sécurité spécifiques pour Pixel et Nexus
Les propriétaires des appareils Android Google Pixel et Nexus devraient bien noter qu’à compter d’octobre 2017, Google publiera un bulletin de sécurité séparé pour ces appareils, et ce parallèlement à la mise à jour mensuelle générique d’Android.
Ce premier bulletin Pixel/Nexus contient un certain nombre de patchs de mises à jour qui, à l’instar de l’ensemble du bulletin Android, corrigent en grande partie les problèmes rencontrés dans Media Framework et les composants matériels associés. Cependant, contrairement à l’ensemble du bulletin Android, la grande majorité de ces vulnérabilités sont considérées comme “Moderate”.
Le conseil est, comme toujours et pour ceux qui le peuvent, d’installer sur vos appareils Android ces correctifs le plus rapidement possible afin de bénéficier de ces mises à jour. Si vous êtes un utilisateur de Google Pixel et Nexus, vous avez de la chance car vous devriez recevoir toutes ces mises à jour de sécurité au cours des deux prochaines semaines, alors soyez prêts à les installer le plus vite possible !
Billet inspiré de Update your Androids, the October patches are out, sur Sophos nakedsecurity.