Le bulletin de sécurité d’avril de Google pour Android est officiellement en ligne, détaillant certaines des vulnérabilités et des corrections de bogues qui devraient être déployées pour les utilisateurs en attendant la finalisation et la publication par les OEM et les opérateurs. Comme cela a été la tendance au cours de plusieurs de ces mises à jour, les correctifs requis dans le correctif de sécurité initial semblent avoir diminué depuis les premiers jours de la plate-forme. Mais il n’en va pas de même pour le deuxième patch mensuel, destiné plus directement aux fabricants de composants.

Pour le niveau de correctif du 1er avril 2019, il n’y a qu’un total de trois correctifs en termes de cadre et de cadre multimédia pour Android. Ceux-ci ne sont pas nécessairement «faibles» sur le front de la gravité, avec deux correctifs dans cette dernière catégorie classés comme «critiques» et s’appliquant à toutes les versions d’Android de 7.0 Nougat à Android 9 Pie. Ces deux problèmes sont répertoriés comme des problèmes permettant potentiellement l’exécution de code à distance et Google note qu’ils sont le pire bogue trouvé cette fois-ci.

La seule vulnérabilité du framework n’a besoin que de patcher Android 8 Oreo et est un problème d’élévation des privilèges à haut risque.

Au niveau du système, dans les premiers correctifs du mois, chacun est évalué à un niveau de risque élevé et cinq des huit correctifs s’appliqueront aux versions Android 7.0 Nougat à Android 9 Pie. Trois autres de ces correctifs s’appliquent uniquement à Android 9 Pie. En termes de catégorisation, ces vulnérabilités sont presque mortes, voire divisées – potentiellement liées à une élévation illicite des privilèges ou à la divulgation d’informations.

Les équipementiers OEM ne se sont pas si bien comportés, il semble

Bien qu’il n’y ait qu’un total de onze correctifs dans le premier des correctifs mensuels de Google, la deuxième série de correctifs – 5 avril 2019 – n’est pas tout à fait au même niveau. Ce sont des correctifs plus directement liés aux composants d’un combiné tels que le logiciel sous-jacent lié aux radios ou processeurs Qualcomm.

En fait, Qualcomm porte le poids de cette mise à jour avec pas moins de 74 correctifs appliqués à ses composants. Chacun de ceux-ci est évalué à un niveau de risque élevé ou pire, et la majorité se trouve dans les composants de source fermée de l’entreprise. Sur les 44 trouvés de ce côté des choses, six sont classés à un niveau critique.

Pour les composants Qualcomm qui ne sont pas à source fermée, toutes les 30 vulnérabilités sauf une ont un impact sur les composants WLAN. Un seul de ceux-ci est critique tandis que le seul correctif restant s’applique à un noyau Qualcomm et est évalué à une gravité élevée.

La pire vulnérabilité repérée au niveau du système pour Android et corrigée dans le deuxième patch de chaque version d’Android depuis Android 7.o Nougat et a sommairement permis au code d’être exécuté à distance dans le cadre de processus privilégiés. Une vulnérabilité de haut niveau associée à la divulgation d’informations est également incluse pour ces versions. Les deux bogues restants sont liés à des problèmes dans le contexte d’une élévation de privilèges. L’un s’applique à Android 8.1 Oreo et Android 9 Pie tandis que l’autre s’applique également à Android 8.0 Oreo.

De mieux en mieux mais toujours pas parfait

Malgré le fait qu’il semble y avoir une multitude de correctifs Qualcomm inclus dans les correctifs de sécurité de ce mois-ci, la sécurité des smartphones Android semble s’être constamment améliorée au cours des dernières mises à jour. Non seulement la sécurité elle-même s’améliore, comme on peut s’y attendre avec les correctifs. La plupart des OEM améliorent également le déploiement des mises à jour.

C’est sans doute grâce aux changements dans les politiques du géant de la recherche concernant l’utilisation de son système d’exploitation mobile signalés vers la fin de l’année dernière. Bien que cela puisse toujours être amélioré davantage, le domaine qui semble nécessiter le plus d’attention maintenant peut même ne pas provenir des OEM mais des fabricants de composants.

Laisser un commentaire