Un nouveau mois a débuté depuis quelques jours et il est donc l’heure de commencer le déploiement du patch de sécurité de mars 2016. Celui-ci vient d’ailleurs d’être détaillé par Google.

Android-Security

Depuis l’affaire Stagefright, Google met un point d’honneur à corriger le plus rapidement possible les failles de sécurité de son système d’exploitation mobile. Aussi, un patch de sécurité est déployé chaque début de mois, sur les Nexus et le code AOSP. Le changelog du mois de mars est particulièrement chargé, prouvant une nouvelle fois que les spécialistes de la sécurité de chez Google ne chôment pas.

16 failles corrigées

Au total, ce sont 16 failles qui ont été corrigées, dont 6 qui sont notées comme “critiques” et 8 dont la priorité était “élevée”. Ce patch répare encore et toujours certaines vulnérabilités du Mediaserver (serveur multimédia) permettant l’exécution à distance de code, ainsi qu’un problème similaire situé dans la librairie libvpx.

Les autres failles permettent pour la plupart d’accéder à certains privilèges (des autorisations d’accès par exemple) ou d’obtenir des informations normalement secrètes par le biais de failles du Kernel (le noyau système), de certaines parties du système (Mediaserver, assistant de configuration…), des drivers MediaTek, des outils Qualcomm ou encore d’autres librairies. Enfin, le changelog évoque également une vulnérabilité du Bluetooth permettant une attaque par déni de service (DDoS).

patch-securite-google-mars-2016

AOSP et Nexus en priorité

Une fois n’est pas coutume, ces changements ont d’ores et déjà été appliqués au code source AOSP d’Android, pour que les développeurs puissent les exploiter. Cette mise à jour est également en cours de déploiement sur certains Nexus, et les plus pressés peuvent d’ores et déjà se procurer la dernière image système à flasher manuellement à l’endroit habituel. Les builds en question sont référencées LMY49H pour la Nexus 10, MMB29V pour les Nexus 5, 6, 6P, 7 (2013), 9 et Player, MHC19J pour le Nexus 5X et MXC14G pour la Pixel C.

Pour les autres terminaux et les ROM personnalisées, il faudra attendre que les développeurs et constructeurs mettent à jour leur propre code, ce qui peut prendre de quelques jours à plusieurs mois selon le sérieux de chacun.