Avec des logiciels de plus en plus complexes installés sur nos appareils, il est impossible de garantir un système sans faille. Le plus important est donc de corriger ces failles le plus rapidement possible. Ça n’a malheureusement pas été le cas de la faille CVE-2020-8899 présente sur tous les smartphones Samsung lancés depuis 2015, c’est-à-dire avec le Galaxy S6 il y a plus de 5 ans ! Autant dire que de très nombreux appareils étaient confirmés par cette vulnérabilité.
Un problème d’image
Elle a été découverte par le chercheur en sécurité Mateus Jurczyk travaillant chez Google en janvier 2020, assez récemment. Il s’agit d’une faille critique 0 clic utilisable par l’envoi d’un simple MMS sur le smartphone concerné. Le responsable de cette faille est en fait le codec de compression Qmage utilisé par Samsung sur smartphones.
Après avoir été mis au courant en janvier, Samsung a proposé un patch de correction avec la mise à jour de sécurité de mai 2020 (SVE-2020-16747) que l’on vous recommande donc d’installer. Malheureusement, aucun smartphone de 2015 à notre connaissance ne sera éligible à une telle mise à jour. Récemment, Samsung a par exemple mis fin aux mises à jour pour le Galaxy S7 lancé en 2016 et qui faisaient déjà figure d’exceptions pour son extrême longévité.
La politique de mises à jour de sécurité mise en place par Google avec ses partenaires depuis quelques années atteint ici ses limites. Certes le niveau de sécurité s’est amélioré sur Android, puisqu’il n’est plus nécessaire d’attendre une mise à jour majeure du système pour voir des failles être corrigées. Mais le problème de la durée du support persiste, alors que les éditeurs proposaient auparavant des temps de support beaucoup plus long, notamment sur PC. Les mises à jour de sécurité de Windows 7 ont été arrêtées cette année, pour une version du système datant de 2009, soit un peu plus de 10 ans de support.
Lien stp? Je recherche " faille" => 0 résultats. C'est la seule concernée? Je ne suis pas sur. Voici ce que j'ai lu dessus => https://www.01net.com/actualites/une-faille-permettait-de-pirater-a-distance-tous-les-smartphones-samsung-sortis-depuis-2014-1909344.html
Source : sammobile. L'application message de Samsung utilise ce protocole.
j espere que tous les retraités comme moi iront ailleurs.a 70 ans on ne peut pas changer de tel tous les ans..
c est honteux.j ai un s6edge qui va trés bien et samsung s en fiche...toujours le pognon avant....et bien le prochain j irai sur une autre marque.
Ils sont gentils chez Samsung, le S9 a été mis à jour en Android 10 en février et depuis... Plus rien ! 0 Mise à jour...
Du hors sujet mais je peux pas m'empêcher de me rappeler avec bonheur et nostalgie de mon a3 2017. Le a3 2017 repartir pratiquement à tous mes besoins Entre autres: - bonne transporabilite - utilisation à une main facile Si j'avais pu continuer avec mon a3 2017 ou si samsung avait sorti un a3 2019 (sans augmentation des dimensions, borderless), je n'aurai pas acheter le s10E. Fin du hs.
Bonjour, pour ma part j'ai un A3 2017 et le correctif de mise à jour de sécurité SVE-2020-16747 n'est toujours pas proposée à la date du 13/05! Cordialement
Proverbe fameux sorti par le même député qui nous parlait du par feu open office?
Source? Car ce que je lis la faille est dans la décompression d'images avec un certains format. Donc bien des MMS, et potentiellement si sur des sites internet aussi?
Si une faille très vieille n'est pas corrigé c'est qu'elle est très bien caché.
La faille est dans l'application message de Samsung uniquement donc une simple mise à jour de l'application via le store peut régler le problème sur les vieux smartphones.
Le Galaxy S6 a quand même pris un sacré coup de vieux 😳😳😳
Faille non corrigée depuis 5 ans, maintenant corrigée. Comme le disait pas ma grand mère "vaut mieux tard que jamais". Samsung peut s'attaquer maintenant aux failles datées de 10 ans non corrigées. 😋😋😋😋😙😙😙
"Il s’agit d’une faille critique 0 clic" Lol c'est pas "0 day" que vous vouliez dire? Le naturel qui reprend le dessus? ^^ EDIT: Ah bah non il semblerait bien que ce soit le nom d'un type de faille ^^ EDIT 2: Et du coup la faille permet de faire quoi avec ce MMS? Récupérer des données ou non? => A priori "Elle permet, sans aucune interaction de l’utilisateur, de conduire à « l'exécution possible de code arbitraire à distance" Bravo Samsung, ou alors c'était une des backdoor NSA découverte? ^^
Il ne faut pas envoyer un MMS pour activer ce RCE, il faut en envoyer au moins 200 à intervalle très régulier, ça n'est pas vraiment invisible...
Voir post d'ichigo ci dessous.
Pas pire qu'Apple qui même en ayant des failles publiées sur le net met plusieurs années à les corriger
Ouf. Merci. J'ai eu très peur.
Je te rassure, des failles qui datent de plusieurs années non corrigées tu en as sur tous les devices sortis lol.
"Il s’agit d’une faille critique 0 clic" Lol c'est pas "0 day" que vous vouliez dire? Le naturel qui reprend le dessus? ^^ EDIT: Ah bah non il semblerait bien que ce soit le nom d'un type de faille ^^ EDIT 2: Et du coup la faille permet de faire quoi avec ce MMS? Récupérer des données ou non? => A priori "Elle permet, sans aucune interaction de l’utilisateur, de conduire à « l'exécution possible de code arbitraire à distance" Bravo Samsung, ou alors c'était une des backdoor NSA découverte? ^^
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix