En marge de ses mises à jour mensuelles, dont la dernière remonte au début du mois, Google vient de déployer en urgence un nouveau patch de sécurité du code AOSP afin de corriger une faille de sécurité inhérente au kernel Linux d’Android.

Android-Security

Ce vendredi, Google a publié un nouveau bulletin de sécurité, concernant la faille CVE-2015-1805, corrigée en urgence. Remontée à la firme de Mountain View par Zimperium, société spécialisée dans la sécurité, cette vulnérabilité touche un certain nombre de terminaux et a été découverte en raison de son utilisation par un outil permettant de rooter le Nexus 5.

CVE-2015-1805 est une faille considérée comme critique en raison de sa possibilité d’obtenir des privilèges élevés et exécuter du code. Elle touche le kernel d’Android dans ses versions 3.4, 3.10 et 3.14. Tout téléphone reposant sur l’une de ces versions est donc potentiellement affecté, à moins que son constructeur n’ait corrigé la faille. Les appareils reposant sur le kernel Linux 3.18 (comme le Galaxy S7 par exemple) sont quant à eux déjà protégés.

Rappelons que ces versions du kernel Linux sont désormais datées, mais que certains constructeurs tentent d’adapter la version 4.5 sur Android.

Un correctif rapide

Afin d’assurer la sécurité de ses utilisateurs, Google a donc déployé un nouveau patch de sécurité pour le code AOSP, comprenant donc le « patch de sécurité du 18 mars 2016 ». Ce correctif sera également intégré au patch prévu pour le 2 avril 2016. Enfin, une mise à jour de Verify Apps a été déployée afin que le système détecte les applications utilisant cette faille, qu’elles soient téléchargées depuis le Google Play Store ou non.

L’incidence de cette mise à jour sur les possibilités de root de certains téléphones n’a pas encore été établie, mais elle risque de fermer certaines portes aux développeurs.