Patchday : Android équipé contre les attaques de codes malveillants

Des informations pourraient être divulguées après des attaques réussies sur des appareils Android. L’augmentation des droits des utilisateurs ou même l’exécution de codes malveillants sont également envisageables. Les mises à jour des versions d’Android devraient permettre de remédier à cette situation.

Dans un message d’avertissement, Google classe à nouveau une « critique« (CVE-2021-0967) dans Media Framework est considérée comme la plus dangereuse. Les vulnérabilités Stagefright causent déjà des problèmes depuis 2015. La forme que pourrait prendre un scénario d’attaque n’est pas claire à l’heure actuelle. Lors d’autres attaques contre le Framework, il suffisait souvent d’ouvrir un fichier vidéo préparé. Par exemple sur un site web.

D’autres failles critiques concernent le système et divers composants à source fermée de Qualcomm. La majorité des vulnérabilités restantes sont classées avec un niveau de menace « élevé« . Les utilisateurs d’Android doivent vérifier si le niveau du patch de sécurité est à jour (2021-12-01 ou 2021-12-05). Les développeurs expliquent dans un article d’assistance comment lire la version Android installée et obtenir des mises à jour.

Outre Google, LG et Samsung, par exemple, fournissent chaque mois des mises à jour de sécurité pour Android (voir encadré). Mais cela n’est malheureusement de loin pas le cas pour toutes les séries d’appareils.

Patchday Android

Outre Google, d’autres fabricants publient régulièrement des correctifs de sécurité – mais généralement uniquement pour certaines séries de produits. Les appareils des autres fabricants reçoivent les mises à jour bien plus tard ou, dans le pire des cas, pas du tout.

  • BlackBerry

  • Fairphone 3

  • Huawei

  • LG

  • Motorola

  • Nokia

  • Samsung

  • Sony

  • Assistance pour les appareils Nexus et Pixel

Les appareils de la série Pixel ont reçu ces mois-ci de nombreux correctifs de sécurité supplémentaires. Parmi eux, plusieurs failles dans le chargeur d’amorçage (CVE-2021-39639) « .haute« , CVE-2021-39640 « haut« , CVE-2021-39644 « haut« ). Les pirates pourraient ici obtenir des droits d’utilisateur plus élevés. Les autres failles sont classées « moderat ».

Comme l’indique un document de Google, le support pour les modèles Pixel-3 et les appareils plus anciens a déjà expiré. A partir de mai 2022, la série Pixel-3a ne recevra plus de mises à jour de sécurité.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici