Comme à chaque début de mois, Google vient de déployer sa mise à jour de sécurité. Pour changer cependant, celui-ci est divisé en deux parties.

Android-Security

Pour renforcer la sécurité de son système après les aléas rencontrés l’année dernière avec Stagefright, Google corrige de nombreuses failles mensuellement et pousse son patch de sécurité en début de mois sur ses Nexus et son code AOSP. La mise à jour du mois d’août vient d’être déployée, ou tout du moins en partie.

Deux patchs pour le prix d’un

Ce mois-ci, Google ne prévoit pas de déployer un, mais deux patchs de sécurité, le premier daté du 1er août et le second quelques jours plus tard, le 5 août – et qui serait, d’après Evan Blass, associée à la sortie d’Android Nougat. Cette manipulation vise un déploiement plus rapide de ces correctifs sur les terminaux des constructeurs tiers. En effet, le patch du 1er août ne concerne que les failles pouvant affecter tous les smartphones sous Android tandis que le second vise essentiellement des failles liées à des parties matérielles (modem Qualcomm, driver Nvidia, bootloader LG, etc.), qui ne sont donc pas présentes sur tous les appareils en circulation.

En agissant de la sorte, Google espère certainement rallier à sa cause les quelques constructeurs réfractaires tels que HTC ou Lenovo qui ont tous deux déjà évoqué leur réticence à déployer des mises à jour de sécurité mensuelles.

De nombreuses failles corrigées

Le patch d’aujourd’hui (daté du 1et août) résout 14 failles seulement, dont une seule est « critique ». Comme bien souvent, celle-ci touche le mediaserver et permet d’exécuter du code à distance, procédé utilisé par Stagefright à l’époque. D’autres trous moins graves ont également été comblés. Ceux-ci permettaient d’exécuter du code à distance (avec moins de possibilité ou de facilité), d’obtenir des privilèges supplémentaires ou encore de créer un déni de service.

Le patch du 5 août corrige quant à lui bien plus de problèmes puisque c’est un total de 28 failles qui sont recensées, dont 7 critiques. On retrouve les habituelles exécution de code à distance, élévation de privilèges et autre récolte d’informations. La plupart touchent des parties bien spécifiques des terminaux, comme les drivers propriétaires (MediaTek, Qualcomm ou Nvidia) ou encore les Google Play Services.

Les Nexus déjà servis

Les Nexus recevront leur mise à jour en OTA à partir du 5 août, afin que les deux patchs soient correctement déployés. Les plus pressés peuvent néanmoins se procurer le fichier à télécharger et à flasher manuellement. Les références des builds concernées sont :

  • Pixel C : MXC89L
  • Nexus 5X et 6P : MTC20F
  • Nexus Player, Nexus 6 et Nexus 9 (LTE et Wi-Fi) : MOB30W
  • Nexus 5 : MOB30Y
  • Nexus 7 2013 Wi-Fi et 4G : MOB30X