La mise à jour de sécurité de mai pour Android est annoncée. Google explique diviser les correctifs en deux niveaux. Depuis le 1er mai, il s'agit d'un niveau partiel, tandis que le niveau complet sera proposé à partir du 5 mai.

Avec ces deux niveaux, l'idée est que les partenaires Android disposent d'une plus grande flexibilité afin de corriger rapidement un ensemble de vulnérabilités qui sont similaires pour tous les appareils Android. En somme, le niveau partiel s'intéresse aux vulnérabilités affectant Android en général, tandis que le niveau complet y ajoute des correctifs pour des pilotes logiciels.

On notera une nouvelle fois que le composant Mediaserver d'Android n'échappe pas à la correction de vulnérabilités critiques. Un total de six failles critiques de type exécution de code à distance (dans le contexte du processus Mediaserver). Il est évoqué une exploitation par le biais d'un " fichier spécialement conçu pour provoquer une corruption de mémoire au cours de la lecture d'un fichier multimédia et du traitement des données. "

Du reste, l'avertissement général pour mettre l'accent sur les problèmes les plus graves fait amplement référence aux problèmes en lien avec Mediaserver : " Une vulnérabilité de sécurité critique pourrait permettre une exécution de code à distance sur un appareil affecté via diverses méthodes comme l'email, la navigation Web, les MMS lors du traitement de fichiers multimédias. " À condition de contourner les mesures de mitigation en place.

Dans la mise à jour complète, on trouvera des correctifs pour d'autres vulnérabilités critiques et qui n'affectent pas nécessairement les appareils Nexus et Pixel de Google. Des composants Qualcomm bénéficient en particulier de quelques patchs.

Pour ce qui concerne les nouvelles failles découvertes, Google souligne qu'il n'y a pas d'exploitation active pour le moment. Ses appareils vont recevoir une seule mise à jour de sécurité en OTA, soit la mise à jour dite avec le niveau complet.

Fragmentation...

La semaine dernière, Google a précisé que le smartphone Nexus 6 et la tablette Nexus 9 datant de novembre 2014 n'auront plus de garantie de mises à jour de sécurité après octobre 2017. Pour les smartphones Pixel, ce sera après octobre 2019. Cela met en évidence les difficultés de Google pour lutter contre la fragmentation au sein de ses propres terminaux, tout comme avec les versions d'Android.

D'après les dernières données émanant des appareils ayant consulté le Google Play Store, le taux d'adoption d'Android 7.x Nougat vient de franchir le cap des 7 %, dont 6,6 % pour Android 7.0 et 0,5 pour Android 7.1. Et ce alors que Android O a déjà pointé le bout de son nez.

Android-taux-adoption-versions-mai-2017

Cette fragmentation demeure problématique pour la sécurité. Android Nougat divise Mediaserver et ses autorisations dans divers composants et environnements de sandbox distincts, d'où une forte atténuation de la surface d'attaque. Encore faut-il pouvoir passer à Android Nougat.