Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Android : Google corrige plus d’une centaine de failles, dont 20 critiques

Mettez-vous à jour... si vous le pouvez !

Android : Google corrige plus d'une centaine de failles, dont 20 critiques

Le 07 juillet 2016 à 09h15

Le bulletin de sécurité d'Android du mois de juillet est bien garni, avec plus d'une centaine de failles. Certaines concernent directement Android, alors que d'autres sont liées à des composants précis et ne touchent pas tous les terminaux.

Depuis maintenant presque un an, Google publie des mises à jour mensuelles pour Android afin de corriger des failles de sécurité sur une base prévisible. La fournée de juillet est très conséquente puisqu'il est question de 107 failles, excusez du peu. Autant dire qu'il est recommandé de se mettre à jour rapidement... du moins pour ceux qui le peuvent.

Une centaine de failles, réparties en deux groupes 

Google explique qu'il a divisé son bulletin en deux parties, identifiées de la manière suivante : 2016-07-01 et 2016-07-05. La première comprend des correctifs qui concernent Android au sens large et touchent potentiellement tous les terminaux, tandis que la seconde se concentre sur des brèches liées à des composants particuliers provenant de chez Qualcomm, NVIDIA, MediaTek, etc.

Le lot estampillé 2016-07-01 comble plus d'une trentaine de failles, dont 8 sont considérées comme critiques puisqu'elles permettent d'exécuter du code à distance via Mediaserver, OpenSSL ou BoringSSL suivant les cas. Le second lot est plus conséquent avec pas moins de 75 failles, dont 12 critiques.

Qualcomm occupe une bonne place avec, pêle-mêle, des élévations de privilèges via une vulnérabilité au niveau du GPU ou le « performance component ». Pour rappel, le fabricant de SoC était récemment sur la sellette pour un problème lié au chiffrement intégral d'Android. De leur côté, les pilotes vidéo de NVIDIA et Wi-Fi de MediaTek contiennent également des brèches pouvant mener conduire aux mêmes conséquences. Tous les détails se trouvent par ici.

Mise à jour d'usine disponible pour certains Nexus, pour les autres...

Comme toujours, les images d'usine sont disponibles sur cette page pour les terminaux Nexus encore mis à jour par Google. Pour AOSP (Android Open Source Project), le code source sera disponible d'ici 48 heures précise le géant du Net. Ce dernier ajoute enfin que ses partenaires ont été notifiés de l'ensemble de ces bulletins de sécurité le 6 juin au plus tard.

Mais le problème avec les mises à jour de sécurité de Google est toujours le même : seules les dernières moutures du système d'exploitation bénéficient des correctifs et il faut ensuite que les fabricants de smartphones et de tablettes les proposent à leur client... ce qui peut prendre du temps, voire ne jamais arriver suivant les cas.

Commentaires (54)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Soltek a écrit :



à l’envi ?





L’envi d’avoir envi !!!!!!!



<img data-src=" /> <img data-src=" />


votre avatar

Bonjour,



Ce que je trouve vraiment déplorable avec les téléphones de nos jours, c’est qu’on se retrouve à devoir jeter le téléphone juste par manque de mise à jour de sécurité…



Qu’on n’ait plus le droit au majs de nouveautés ok, mais le constructeur + l’entreprise en charge de l’os se devrait de fournir des majs de secu durant 5 ans. C’est clairement un minimum…



En gros il faudrait des versions LTS, et que chaque appareil soit vendu en garantissant le support d’une LTS (ou plus selon l’envie du constructeur). Mais au moins on n’aurait pas à jeter son téléphone “juste” parce qu’il n’existe plus de correctif redescendu sur sa branche d’os pour corriger les failles.





C’est vraiment aberrant cette obsolescence programmée…

votre avatar

Question (naïve) : avec l’image dusine, on perd ses réglages et données ?

votre avatar

Ok. Ouais donc je ne trouve pas. Il ne corrige pas les failles des pilotes hardwares, il ne fait que les distribuer comme MS le fait avec les MàJ des drivers dans les Windows Updates quoi.

votre avatar

Pas forcément, si tu suis la manip de cette page oui, mais tu n’es pas obligé de faire toutes ces étapes.

votre avatar

J’espère que CyanogenMod va nous sortir une version corrective.

votre avatar







Soltek a écrit :



Mouais sauf qu’aucun appareil n’est concerné par ces plus de 100 failles, une bonne partie proviennent des pilotes, pilotes qui sont loin d’être commun à tous puisque liés au hardware. Ça se voit rapidement sur la page du bulletin de sécu.

D’ailleurs ce n’est pas aux constructeurs (Qualcom, Nvidia, Mediatek & Co) de faire les drivers et donc de combler ces failles ? Pourquoi on dit toujours “Google corrige Android” ?



En tout cas c’est cool, Nexus 5 de 3 ans toujours à jour <img data-src=" />







Oui mais une faille sur un composant Qualcom, ça touche pas de fait un large public sur mobile?



votre avatar







Soltek a écrit :



Ok. Ouais donc je ne trouve pas. Il ne corrige pas les failles des pilotes hardwares, il ne fait que les distribuer comme MS le fait avec les MàJ des drivers dans les Windows Updates quoi.





Ah non, CyanogenMod va nous sortir une version distributive de corrections.&nbsp;<img data-src=" />


votre avatar

J’ai une question : est-ce que le monde à deux vitesses d’Android (pardon, à 100 vitesses) ne pose pas lui-même un problème de sécurité ? Parce que quand Google sort un correctif, ceux qui sont susceptibles d’utiliser les failles qui sont bouchées ont alors connaissance de failles exploitables sur les millions de devices qui n’ont pas accès à la mise à jour, am I right ?

votre avatar

Si si ça je ne dis pas le contraire.

votre avatar

<img data-src=" />



C’est ce que fait Google tous les mois avec ces mises à jour mensuelles.

votre avatar

Je te charriais sur la diférence entre correction et distribution.

Le client se fout, à tort, de savoir où est précisément le problème.

“Mon tél Android c’est une passoire”

votre avatar

Ah oui bah si on parle client là on peut carrément enlever ta dernière phrase parce qu’il n’en sait rien et s’en fout royalement <img data-src=" />

votre avatar

De là à le jeter… J’ai un vieux PC sous Vista, je ne vais pas le jeter même s’il n’y a plus de support sécurité venant de Microsoft. <img data-src=" />

votre avatar

Depuis le 5 juillet sur les BlackBerry Priv.

votre avatar

Les anciens téléphones avaient des failles aussi : tous les dispositifs en ont, mais celles-ci n’étaient pas corrigées.

votre avatar

J’ai une question bête, est-ce que les Nightly de Cyanogenmod embarquent la correction de ces failles?

votre avatar

Mouais sauf qu’aucun appareil n’est concerné par ces plus de 100 failles, une bonne partie proviennent des pilotes, pilotes qui sont loin d’être commun à tous puisque liés au hardware. Ça se voit rapidement sur la page du bulletin de sécu.

D’ailleurs ce n’est pas aux constructeurs (Qualcom, Nvidia, Mediatek & Co) de faire les drivers et donc de combler ces failles ? Pourquoi on dit toujours “Google corrige Android” ?



En tout cas c’est cool, Nexus 5 de 3 ans toujours à jour <img data-src=" />

votre avatar

Tout comme ça se voit dès la deuxième phrase de l’article?

votre avatar

Oui, prises en compte très rapidement

votre avatar







Soltek a écrit :



Mouais sauf qu’aucun appareil n’est concerné par ces plus de 100 failles, une bonne partie proviennent des pilotes, pilotes qui sont loin d’être commun à tous puisque liés au hardware. Ça se voit rapidement sur la page du bulletin de sécu.

D’ailleurs ce n’est pas aux constructeurs (Qualcom, Nvidia, Mediatek & Co) de faire les drivers et donc de combler ces failles ? Pourquoi on dit toujours “Google corrige Android” ?



En tout cas c’est cool, Nexus 5 de 3 ans toujours à jour <img data-src=" />





Heu… c’est dit à l’envi dans l’article, hein …


votre avatar

Merci :)

votre avatar

à l’envi ?

votre avatar
votre avatar

Sauf que la majorité des gens n’en ont rien à faire des mises à jour de sécurité.

votre avatar

Sauf sur les snapshot vu que le dernier snapshot date d’avril…



Donc il faut se farcir les nightly avec les bugs potentiels…

votre avatar







Lady Komandeman a écrit :



De là à le jeter… J’ai un vieux PC sous Vista, je ne vais pas le jeter même s’il n’y a plus de support sécurité venant de Microsoft. <img data-src=" />





C’est à toi de voir, aller sur internet avec une passoire pareil, sachant que les antivirus vont aussi arrêter de le supporter… A ta place je mettrais justement un linux pour avoir quelque chose à jour et ne pas jeter. Chose qu’on ne peut pas faire sur les téléphones si android 5.X n’est plus supporté, et que le 6.X ne passe pas faute de driver ben c’est fini, les failles connues sont exploitables et basta.



Tu oublies aussi une chose, certaines failles critiques sont exploitables juste à la réception d’un mms. Et tu ne peux rien faire… On n’est pas juste de l’ordre de l’accès physique à la machine…

Pour ceux qui étalent leur vive privée sur fessebouc et truiteur je conçois parfaitement qu’ils n’y voient aucun problème, pour ceux qui fon gaffe un minimum la donne est différente.







DownThemAll a écrit :



Sauf que la majorité des gens n’en ont rien à faire des mises à jour de sécurité.





Et c ‘est bien ce qui est déplorable, de toute façon les gens s’en foutent vu qu’ils suivent la société de consommation donc change très rapidement, donc ils sont contents.


votre avatar

c’est quand meme incroyable ce lot de failles chaques mois



est ce qu’il s’agit de regression principalement ? de faille induites par de nouvelles fonctionnalités ?



ca semble sans fin, pourtant on imagine la creme de la creme des dev deriere ces systemes



pour le coup je suis etonné qu’il n y pas de scandale grand public quand ont sais que certaines peuvent etre exploité via un simple envois de SMS, en theorie on aurait du voir des millions d’infos fuiter dans la nature ( historique web/ sms / noms utilisateurs et j’en passe )

j’ai pas été voir metesploit recemment mais a l’epoque il y a avait tres peu d’exploit android, ca n’a peut etre pas beaucoup changé

votre avatar

J’ai l’impression que le principale problème d’Android, c’est le fait que l’OS est assez monolithique, et que les mise à jours doivent faire l’intégralité de la chaînes, de l’origine de la correction (fabricant de matos pour les driver, Google pour le coeur, le constructeur pour les surcouches) jusqu’à constructeur voir opérateur téléphonique pour être diffuser.



Pour les iPhones, la question ne se pose pas car Apple est sur l’ensemble des échelon, tout en entièrement sous son contrôle, ils font la pluie et le beau temps.



Mais qu’en est-il des Windows Phone ? est ce que c’est toujours le constructeur qui diffuse toutes les maj, ou MS s’occupe lui même des maj de l’OS un peu de la même manière que son OS de bureau ?

votre avatar

Ce n’est clairement pas incroyable, les smartphones sont au final des mini pcs.



Combien de correctifs reçoit tu pour windows/osx/linux chaque mois?

Ben c’est pareil. L’erreur est humaine, donc il y a forcément des failles pb.



Si on rajoute à ça la course vers la sortie rapide, qui est très à la mode, les développeurs n’ont pas le temps de faire quelque chose de correcte éprouvé et validé.

Rien n’est surprenant. Le problème aussi c’est que contrairement à windows/linux and co, les pilotes sont inclues dans la rom, et là ou sous windows tu mettrais juste à jour ton driver pour résoudre le problème, si ton constructeur/google ne redescend pas un correctif, tu ne peux pas l’installer sans téléphone rooté… Bref on est sur un pc totalement verrouillé..



Ce qui est surtout irresponsable, c’est justement de se retrouver coincé à jeter son matériel puisque non mi à jour, et sans solution de replis, là ou sur un pc dans 90% des cas tu peux te replier sur autre chose qui lui va continuer à être mis à jour en gardant l’utilité principal ou quitte à faire des compromis.

votre avatar

Le problème d’Android c’est surtout la diversité des smartphones, puis la personnalisation constructeur.

De plus on est trop proche d’une philosophie “de l’embarquée” (donc personnalisé par le constructeur) que du “pc” (donc plus grandes séparations des composants via un système de drivers dynamique). Il serait temps de se rapprocher de la philosophie PC : ca pouvait se comprendre avec la “faible” puissance des smartphones, mais maintenant on a de la puissance pour pas cher…

votre avatar







CryoGen a écrit :



Le problème d’Android c’est surtout la diversité des smartphones, puis la personnalisation constructeur.

De plus on est trop proche d’une philosophie “de l’embarquée” (donc personnalisé par le constructeur) que du “pc” (donc plus grandes séparations des composants via un système de drivers dynamique). Il serait temps de se rapprocher de la philosophie PC : ca pouvait se comprendre avec la “faible” puissance des smartphones, mais maintenant on a de la puissance pour pas cher…





La dessus je suis d’accord, c’est le constructeur qui tient son smartphone à jour mais que par l’aspect “emparqué” qui rend un peu monolithique le bousin, les MAJ nécessite un gros travail de compilation+validation qui avec la diversité des référence pour un constructeur devient très peu rentable à long terme.



Cette logique de l’embarqué avait un sens il y a 10ans, mais aujourd’hui, ce n’est plus trop le cas. D’où ma question : Windows Phone étant arrivé plus tard surtout la version 810, est-ce que MS a gardé une logique plutôt proche des PC ?


votre avatar

Je crois qu’il y a peu de téléphones constructeurs autre que ceux de microsoft…

Donc pour la majorité c’est microsoft qui déploie.



Pour les autres si ça existe toujours, déjà on n’a pas le problème de surcouche etc. Donc je crois que c’est quand même poussé par microsoft comme pour windows.

Je pense que le problème ne se pose donc pas.

votre avatar

Fairphone fait ça, en s’engageant à mettre à jour niveau sécurité le plus longtemps possible.

Le FP1 va encore recevoir des mise à jour d’Android 4.4.4.

votre avatar

Donc, un bon vieux SG3 LTE, Androïd 4.4.4 n’a plus le droit à rien du tout ?

On a potentiellement plein de failles, mais comme le tel&nbsp;à 4 ans, c’est plus à la mode, donc on doit changer ?

==&gt; Belle mentalité

votre avatar

Sur SaM Mobile le dernier firmware constructeur version 5.1.1 a les versions de sécurité de mai 2016, depuis plus rien.

votre avatar







athlonx2 a écrit :



L’envi d’avoir envi !!!!!!!



<img data-src=" /> <img data-src=" />





<img data-src=" />


votre avatar

On va peut être enfin pouvoir se connecter à un vpn ipsec avec android 6 -_-’

votre avatar







challenger a écrit :



Donc, un bon vieux SG3 LTE, Androïd 4.4.4 n’a plus le droit à rien du tout ?

On a potentiellement plein de failles, mais comme le tel à 4 ans, c’est plus à la mode, donc on doit changer ?

==&gt; Belle mentalité



Au bout de 4 ans, il ne doit plus y avoir beaucoup de SG3 encore en fonctionnement. Ils ne vont pas se faire chier pour 2000 téls dans le monde…


votre avatar







challenger a écrit :



Donc, un bon vieux SG3 LTE, Androïd 4.4.4 n’a plus le droit à rien du tout ?

On a potentiellement plein de failles, mais comme le tel&nbsp;à 4 ans, c’est plus à la mode, donc on doit changer ?

==&gt; Belle mentalité





Au pire, il ne doit plus être sous garantie depuis longtemps, donc tu flash une ROM alternative. Mon Galaxy Note 1 tourne sous Marshmallow avec les derniers patch de sécurité.


votre avatar

A Madagascar par exemple, il y en a bien plus que 2000.

votre avatar

Ils arrivent à porter sur android 4.4 les correctifs qui ne sont portés que sur android 6.X????



Idem, je ne vois pas comment isl pourraient régler les problèmes du constructeur de cpu qui ne fourni pas de correctif ou tout du moins pas pour android 4.X et livre un blob?

Après en dehors de ça la gamme de prix ne correspond pas à ce que je cherche.



Je veux bien mettre le prix, mais alors je un truc très compact genre Z5C (voir plus petit :o) et pas un bordel à 5” ou plus)

votre avatar

Encore faut-il que ça soit possible.

Parfois ça ne l’est pas ou il faut voir le résultat, si c’est pour avoir le wifi/GSM qui coupe tout le temps parce que le blob n’est pas mis à jour et non compatible, ce n’est pas ce que j’appelle “supporté”. :/

votre avatar







Burn2 a écrit :



Encore faut-il que ça soit possible.

Parfois ça ne l’est pas ou il faut voir le résultat, si c’est pour avoir le wifi/GSM qui coupe tout le temps parce que le blob n’est pas mis à jour et non compatible, ce n’est pas ce que j’appelle “supporté”. :/





Sur mon Note 1, tous fonctionne parfaitement avec Android 6. &nbsp;Mon Note 4 est parti en SAV je l’ai utilisé pendant 1 semaine et demi et aucun soucis. Ta essayé qu’elle ROM ? Sur XDA pour le tiens, il y a celle-ci ou tous a l’air fonctionnel. Apres j’ai eu un soucis similaire car j’avais oublier de WIP la partition system avant de changer de ROM, j’ai refais toute l’installation et tous fonctionné parfaitement.



EDIT: Ne pas oublier de regarder si tu as bien le dernier Modem sortie d’installé sur ton téléphone.


votre avatar

Je n’ai pas de Note1, mais c’est d’expérience que je dis ça.

J’ai eu le cas avec:

Le geeksphone one

Le motorola defy

Le razr i



Et on peut en citer plein comme ça, assez vite, les blobs vont te bloquer niveau mise à jour, tu ne pourras pas compiler un kernel qui va bien sans les pilotes manquants et ça va capoter.

votre avatar

Le lien c’est pour ton “bon vieux SG3 LTE” comme tu le cite en exemple.

votre avatar

Alors qu’il suffirait peut-être simplement de fragmenter pour avoir Android stock + une surcouche logicielle indépendante… mais non, les constructeurs et les opérateurs s’obstinent à vouloir compiler pour nous imposer leurs launcher et leurs pourriciels.

votre avatar

Oui pour tous ce qui touche au code open source d’android (AOSP)

Pour ce qui relève des drivers, c’est moins sûr. Sur le Nexus 5x, les drivers sont sur une partition séparée par exemple et cette partition n’est pas modifiée quand on met à jour Cyanogen.



Donc pour la procédure d’update de sécurité complète sur Nexus, je te conseille mon tuto :https://tuxicoman.jesuislibre.net/2016/04/installer-cyanogenmod-sur-un-nexus-5x….

votre avatar

“The Android security team currently

provides patches for Android versions 4.4 (KitKat), 5.0 (Lollipop), 5.1

(Lollipop MR1), and 6.0 (Marshmallow).”

https://source.android.com/security/overview/updates-resources.html



Google fournit toujours les mises à jours de sécurité pour Android Kitkat. Et je ne pense pas que beaucoup de constructeurs les utilise/distribue! Fairphone le fait.<img data-src=" />



Après que je comprends totalement que le FP2 (qui lui tourne avec 5.1.1 update) ne puisse ne pas être pour toi. <img data-src=" />

votre avatar

Hum, ok, mais si on prend l’exemple du nexus 4, à ma connaissance google ne déploie même plus de rom incluant les correctifs:

developers.google.com Google(dernière build octobre 2015)

Alors que sa dernière version OFF est en 5.1 et que le portage officiel de la 6.X était presque fini avant annulation…



Donc je ne m’attendais pas à ce que ces branches soient toujours patchées si même google n’est pas un bon élève…



C’est bon à savoir qu’en fait si il reste toujours un suivi mais qu’il faut repartir de 0 et se démerder soit même.





En tous cas ça montre bien que même google se fou complètement de ses clients.



Pour le fairphone, il aurait pu me convenir s’il était plus petit.

Mais quand je vois l’abscence total de rom custom ça l’exclu totalement. :/



Néanmoins effectivement d’après ce que tu me dis ça a l’air d’être effectivement un excellent constructeur s’il continue de porter les majs de sécu.

On peut quand même regréter leur choix de “1 version de téléphone = un os”, je n’ai pas l’impression qu’ils mettent à jour les branches, ils compilent juste les correctifs et basta.

Après il restera toujours le problème des drivers constructeurs (qualcomm and co) qui eux ne seront pas forcément corrigés, donc une faille potentiellement béante qu’il n’est pas possible de corriger à l’échelle de l’os.

votre avatar

Détrompe toi, en octobre 2015, le SIII était encore le terminal le plus utilisé.

Cf. le graphique annuel de OpenSignal.

votre avatar

Je serais bien intéressé concernant la ROM utilisée pour le Note 1.&nbsp;<img data-src=" />

Mon ancien Note 1 “dort” tranquillement “pour test” et doit encore être en ROM constructeur 4.1.2 rootée (modèle international GT-N7000).

&nbsp;

Je mettrais bien à jour mon Note 3, mais entre la perte du “tout noir” en 5.x (merci l’AMOLED), le peu d’apport fonctionnel réel, le fait que j’utilise beaucoup certains outils requérant TouchWizz et le fait que je ne souhaite rien perdre sur mon “smartphone de prod” rooté en 4.4.2.

J’avais toutefois vu sur XDA les ROM Phronesis et AlexNDR basées sur le le portage des ROMs officielles du Note 5 (donc basées sur TouchWizz)&nbsp;qui paraissaient intéressantes.



Je reçoit toutefois certaines mise à jour de sécurité de Samsung et de Google sur mon Note 3… mais quand à savoir ce qui se trouve dedans ?!?

votre avatar

[ROM][CM13][Marshmallow][Android 6.0.1]&nbsp;Pour GT-N7000, très bonne ROM. Pense a mettre a jour ton MODEM aussi avant de flasher, et aussi WIP bien toute les partitions pour pas avoir de soucis.

votre avatar

Merci beaucoup, je testerai ça !&nbsp;<img data-src=" />

&nbsp;

Je vois que cette ROM est basée sur CM13. Et du coup, côté stylet, quelle solution ?

J’ai vu qu’il y avait quelques appli sur le PlayStore et sur XDA à ce sujet mais je n’avais pas plus cherché à l’époque.

Android : Google corrige plus d’une centaine de failles, dont 20 critiques

  • Une centaine de failles, réparties en deux groupes 

  • Mise à jour d'usine disponible pour certains Nexus, pour les autres...

Fermer