Android : 48 failles corrigées dans les bulletins de novembre, mais pas Dirty Cow
C'est la chenille qui redémarre...
Le 08 novembre 2016 à 15h30
4 min
Société numérique
Société
Google a publié sa liste mensuelle de failles de sécurité corrigées dans Android. On trouve une cinquantaine de brèches colmatées, dont 15 tout de même sont considérées comme critiques. Malheureusement, pour des raisons de calendrier, la vulnérabilité Dirty Cow reste ouverte pour l’instant.
Dans le sillage de Microsoft, un nombre croissant d’entreprises a mis en place des roulements pour leurs mises à jour. Il s’agissait initialement d’une demande pressante des entreprises, car les correctifs survenaient simplement quand ils étaient prêts. Google fait de même et publie depuis longtemps des mises à jour sur un rythme mensuel, même si ce processus n’a pour beaucoup été mis en lumière qu’avec la faille Stagefright.
48 failles, dont 15 critiques
Premier lundi du mois oblige, Google a donc publié sa nouvelle salve de correctifs hier soir. Il est plus exact de dire que ces correctifs ont été rendus publics, car ils sont systématiquement envoyés aux constructeurs un mois avant pour qu’ils aient le temps de les adapter à leurs propres appareils. De son côté, Google propose en même temps des images complètes et OTA pour ses smartphones et tablettes en cours de support. Les récents Pixel (XL) font d’ailleurs leur entrée dans la liste.
En tout, ce sont 48 failles qui sont ainsi corrigées, soit le même nombre que le mois dernier. 15 de ces failles sont critiques et concernent des brèches dans des composants aussi variés que le Mediaserver (souvent l’objet de correctifs), la bibliothèque libzipfile, le système de fichier du kernel, le pilote pour le chiffrement de Qualcomm et dans un certain nombre d’autres pilotes.
Dirty Cow n'a pas encore de correctif disponible sur Android
Il y a pourtant une absence notable dans la liste fournie par Google : Dirty Cow. Derrière ce nom presque amusant – qui signifie en fait « dirty copy on write »- se cache une faille vieille de neuf ans dans le noyau Linux, repris par Google pour Android. Or, le code responsable de cette faille a été intégré peu de temps avant que la firme ne récupère le kernel. La vulnérabilité est donc présente dans toutes les versions du système mobile.
La faille est doublement dangereuse. Elle était ainsi déjà exploitée lorsque ses détails ont été révélés le mois dernier, d’autant que ladite exploitation est simple à mettre en œuvre. D’autre part, le pirate qui parvient à s’infiltrer via Dirty Cow obtient les droits root sur le système. Sur Android, cela signifie une prise de contrôle de l’appareil. Mais puisque la faille touchait plus globalement Linux, il y avait un danger important pour les serveurs.
À la publication des informations sur la faille, les principaux éditeurs de distributions Linux avaient cependant déjà mis à disposition les correctifs correspondants. Quant à Android, le roulement mis en place ne permet en fait pas la diffusion du patch. Les mises à jour à disposition sont en fait celles corrigées le mois dernier. Google a d'ailleurs confirmé à Ars Technica que le correctif attendu n'arriverait que le mois prochain, avec le nouveau lot mensuel.
Les premiers correctifs pour les Pixel
Comme indiqué, les récents Pixel sont pour la première fois dans la boucle des mises à jour. Notez que les liens fournis concernent, comme d’habitude, les images complètes et OTA à installer manuellement. Nous avions d’ailleurs détaillé la procédure dans une précédente actualité. Chaque téléchargement s’applique sur la dernière révision disponible d’Android pour l’appareil choisi : 7.1 pour les Pixel, 7.0 pour tous les autres.
On rappellera que les téléchargements automatiques OTA ne se déclencheront, eux, qu'un peu plus tard.
- Pixel : Image d'usine – OTA
- Pixel XL : Image d'usine – OTA
- Nexus 6P : Image d'usine – OTA
- Nexus 5X : Image d'usine – OTA
- Nexus 6 : Image d'usine – OTA
- Nexus 9 (WiFi) : Image d'usine – OTA
- Nexus Player : Image d'usine – OTA
- Pixel C : Image d'usine – OTA
Attention, en fonction des appareils, il peut exister plusieurs versions, notamment pour les Pixel. Google indique (enfin) le mois correspondant à la version, mais il faudra prendre soin de sélectionner le bon fichier, car il existe des variantes américaine, européenne et spécifique à Verizon.
Android : 48 failles corrigées dans les bulletins de novembre, mais pas Dirty Cow
-
48 failles, dont 15 critiques
-
Dirty Cow n'a pas encore de correctif disponible sur Android
-
Les premiers correctifs pour les Pixel
Commentaires (30)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 08/11/2016 à 17h21
On peut difficilement reprocher à Google son manque de suivi, c’est sans doute le meilleur sur Android. Maintenant ça me saoule aussi pour le Nexus 5, on parle sécurité pas du confort d’avoir la dernière version.
Le 08/11/2016 à 17h28
Tu découvres Android ou quoi ? 😂😂
Le 08/11/2016 à 17h47
Une faille critique non corrigée, toujours le même bazar pour les mises à jour, ah par contre pour jouer les cacous et balancer publiquement les failles des concurrents, là, il y a du monde …
Des champions.
Le 08/11/2016 à 17h47
Je ne découvre pas Android mais c’est quoi le plan à long terme ?
Que je me fasse infecter dans les prochaines semaines sans autre solution que de perdre des heures à la recherche et à l’installation d’une ROM alternative ? J’en ai un peu marre de tout ça, je voudrais un truc qui marche et dure longtemps sans perdre de temps à faire les mises à jour manuellement, je veux un smartphone qui se met à jour comme mon PC sous Windows, sans souci, même si c’est moins le cas depuis Windows 10.
Le 08/11/2016 à 18h04
Tiens une question qui me taraude : quand on a un smartphone non Google, que l’on est root dessus et que le constructeur n’est pas un rapide ou alors ne fait plus de mise à jour, est-il quand même possible d’intégrer ces patchs de sécurité mensuels ? Et si oui comment ? Merci
" />
Le 08/11/2016 à 18h31
Ça s’appelait BlackBerry 10 et Windows Phone ^^.
Soit dis en passant je n’ai pas eu réponse précise mais si BlackBerry veux se démarque sur Android il serait envisageable qu’il fassent des maj plus longtemps que la concurrence.. Ou tout au moins les bulletins de sécurité.
A voir, à réfléchir
Le 08/11/2016 à 18h54
Le 08/11/2016 à 19h33
Mon BlackBerry Priv a en effet reçu sa mise à jour 👌
Le 08/11/2016 à 20h01
ca dépend du téléphone et du mec qui se dévoue à prendre le téléphone sous son aile.
si tu prends la bonne rom et le bon kernel, tu le vois au suivi du mec au fil des semaines et mois, années, ainsi que sur le retour des utilisateurs.
ca prend du temps de faire confiance, peut être il te faudra deux ou trois essais de roms mais après tu seras bien plus tranquille.
Je précise que je parle du suivi sur le forum XDA
Le 08/11/2016 à 20h04
j’ai envie de dire +1
ca balance sur la concurrence mais ça ne nettoie pas l’écurie.
Le 08/11/2016 à 20h11
le mieux restera toujours le Do It Yourself. sans faire de prosélitisme Android est le plus proche de cela.
La communauté ArchLinux en est un bon exemple, dés qu’il y a une faille corrigeable, le code pour patché est fourni en mode texte sur les forums et t’as plus qu’a l’appliquer. De nos jours on ne peut plus faire confiance, peu importe la marque ou l’ancienneté, ils ont tous un cahier des charges, un calendrier et des impératifs. ( traduisons par “on s’en fout nous, ca viendra quand ca viendra” )
Le 08/11/2016 à 21h32
BlackBerry ne conçoit plus ses smartphones, il délègue la tâches avec des autres constructeurs et ne s’occupe plus que de l’os.
Au paravant il dessinaient, construisaient au Mexique et vendaient. Bref non ils ont toujours des smartphones avec leurs logos
Le 09/11/2016 à 00h29
Est ce que Dirty Cow est corrigé sur Cyanogenmod ? Pour le OnePlus One par exemple.
Le 09/11/2016 à 07h13
Vu le genre de discussion qu’on a ici, je pense qu’un dossier NXI sur la question (qualité et durée du suivi par marque, que faire une fois la fin du support atteint…) serait le bienvenu
" />
Le 09/11/2016 à 07h30
+1 et alors je reprendrais un abonnement NXI. 😉
Le 08/11/2016 à 15h40
Bah bravo Google ! Ils sont où les 7 jours de délai pour corriger les failles hein ?
" />
Le 08/11/2016 à 15h41
Je les vois pas chialer que ça ait été mis à disposition …..
" />
eux
Le 08/11/2016 à 15h48
C’est fini pour le 5 ?
" />
Le 08/11/2016 à 15h49
CopperheadOS (une ROM AOSP) est à jour sur la dernière version des patchs ;) :
Twitter
 
Le 08/11/2016 à 15h56
Le 08/11/2016 à 15h58
Et le Nexus 5 ? Il fonctionne toujours bien ce telephone !
Le 08/11/2016 à 15h59
Ce qui est drôle c’est que mon custom kernel sur le S7 est déjà patché..;
Le 08/11/2016 à 16h04
Le bon lien : 
Twitter
Le 08/11/2016 à 16h12
Pas de soucis de mon coté ( Nexus 5x sous PureNexus avec ElementalX )
la plupart des customs kernels sérieux ont patché cette faille depuis un moment.
Le 08/11/2016 à 16h37
Carton rouge à Google pour le suivi du Nexus 5. C’est quoi ce bordel avec Android là ? Des failles tous les mois, des smartphones vulnérables encore dans la nature et aucun suivi derrière.
Le 08/11/2016 à 16h41
C’est la chenille qui redémarre…Le rock m’appelle !
" />
Le 08/11/2016 à 16h52
Le 09/11/2016 à 09h19
Attention:
arrêter de fabriquer ≠ arrêter de vendre
C’est juste que désormais BB rebadge des téléphones «venus d’ailleurs».
Ça ne marchera peut-être pas, là n’est pas la question, mais ça n’empêche pas de faire un suivi aussi sérieux que sur les téléphones développés en interne.
Edit: Une grillade du matin, pourquoi pas
Le 09/11/2016 à 10h42
Le 10/11/2016 à 10h58
Merci pour la réponse.
Le souci, c’est que le device auquel je pense n’aura pas de ROM de la communauté. C’est un PDA professionnel dont les montées de version ont 2-3 ans de retard (c’est classique pour ce genre de produit). Ce qui pose tout de même un gros souci de sécurité lorsqu’ils sont à la fois connectés en 3G et sur le réseau local de l’entreprise….
C’est malheureusement l’un des aspects qui fait que l’on retrouve beaucoup d’iphone et de PDA en entreprises. Au moins, il n’y a pas de délais dans l’application des mises à jour. Mais ce choix impose d’autres contraintes ..
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?