En ce début décembre, Google vient de publier un important correctif de sécurité pour ses appareils Nexus. Le code est également disponible dans Android Open Source Project (AOSP) donc les constructeurs de smartphones pourront les appliquer à leurs appareils... quand ils le voudront bien. Eternel problème de l'écosystème Android.

Ce sont une petite vingtaine de failles qui sont ainsi patchées, dont 4 classées critiques. Tout d'abord une vulnérabilité dans mediaserver qui permet à un attaquant de corrompre la mémoire et finalement exécuter du code arbitraire à distance dans le processus de mediaserver, au moyen d'un fichier media malicieux, vidéo ou MMS. La description de cette faille n'est pas sans rappeler StageFright qui a défrayé la chronique en août dernier. Toutefois Google n'y fait pas allusion dans son bulletin de sécuritél alors que Stagefright est mentionnée explicitement en ce qui concerne la correction de vulnérabilités hautes.

Une autre vulnérabilité critique corrigée se situait dans Skia. Au moyen d'une page web malicieusement conçue, d'un fichier MMS, d'un email ou d'une vidéo, un attaquant pouvait corrompre la mémoire et finalement exécuter du code à distance dans un processus privilégié.

Vient ensuite un problème d'élévation de privilège dans le noyau qui permettait d'exécuter du code arbitraire dans le contexte root. Cette faille est classée critique, souligne Google car le seul moyen de réparer un smartphone compromis est de re-flasher l'OS.

Est corrigée enfin une vulnérabilité dans le pilote d'affichage, qui permettait d'exécuter du code arbitraire à distance, dans le contexte utilisateur du pilote chargé par mediaserver.

Il ne reste donc plus qu'à attendre que les correctifs arrivent jusqu'aux utilisateurs Android. En attendant, la bonne nouvelle est qu'il n'existe pas d'exploits connus de ces failles qui viennent d'être corrigées.