Google vient de mettre en ligne sa nouvelle fournée de mises à jour de sécurité pour Android avec sept failles corrigées, dont deux critiques. Cela ne concerne par contre qu'Android 5.1.1 et 6.0.0, ce qui laisse sur le carreau une écrasante majorité des terminaux.
Suite à la découverte de la faille Stagefright qui impacte de très nombreux terminaux Android, Google avait annoncé qu'il publierait des mises à jour de sécurité mensuelle pour son système d'exploitation mobile. En ce début du mois de novembre, la troisième édition vient d'être mise en ligne, à la fois pour Android 5.1.1 (Lollipop) et 6.0.0 (Marshmallow).
Certains Nexus peuvent en profiter dès à présent
Dans le premier cas, les images d'usines sont estampillées LMY48X ou LMY48Y, mais tous les terminaux ne sont pas concernés. Actuellement, les Nexus 6, 7(2013 en Wi-Fi et 3G), 9 et 10 peuvent être mis à jour, mais pas les autres comme les Nexus 4 et 5 qui bénéficient pourtant de Lollipop. Du côté d'Android 6.0.0, Google ne précise pas de numéro de version et se contente d'annoncer qu'il faut que l'image intègre le « Security Patch Level du 1er novembre ».
Sept failles y sont comblées, dont deux avec un niveau critique. Dans les deux cas, le risque concerne une élévation de privilège avec la possibilité d'exécuter du code arbitraire. L'une des brèches se loge dans le médiacenter (CVE-2015-6608, d'Android 4.4 à 6.0) et a été identifiée par l'équipe de sécurité de Google, tandis que la seconde prend place dans la bibliothèque libutils (CVE-2015-6609 Android 6.0 et versions antérieures) et a été identifiée le 3 août par Daniel Micay de la société Copperhead Security.
On notera également que Stagefright n'en finit pas de faire parler d'elle avec un nouveau correctif lui étant dédié (CVE-2015-6610 Android 6.0 et versions antérieures). Dans tous les cas, la société de Mountain View précise qu'elle n'a eu « aucun rapport d'une exploitation active » de ces failles. Tous les détails se trouvent par ici.
Les versions AOSP arrivent
Dans tous les cas, Google précise que ses partenaires ont été informés de ces brèches de sécurité le 5 octobre au plus tard. Le correctif pour Android Open Source Project (AOSP) sera mis en ligne « dans les prochaines 48 heures » précisait hier soir Google, ce qui permettra aux partenaires de l'adapter à leurs terminaux.
Comme toujours avec Android, le problème reste qu'en dehors des Nexus, une grande majorité des smartphones un peu anciens n'ont que peu de chance d'être mis à jour. Ce correctif ne concerne en effet qu'Android 5.1.1, qui n'est installé que sur moins de 8 % des terminaux selon le dernier rapport de Google.
Commentaires (24)
Je ne comprends pas que les patchs ne sortent pas sur tous les téléphones Nexus d’un coup.
Le gros de leurs tests doit être automatisé, ils peuvent probablement lancer la compilation de tous les téléphones en quelques clics et lancer les tests automatiques dans la foulée. D’autant que les patchs ne modifient probablement pas l’intégralité du système quand même.
Vraie question, c’est quoi le lien entre une Maj de sécurité et le hardware ? Sur Windows peu importe la machine, tout le monde reçoit le correctif.
Il y a un risque que ça fasse planter le téléphone ?
ils sont chiant d’avoir bloqué les mises à jours quand le téléphone est routé.
Oui, il faudrait espérer que Google se décide, dans la prochaine upgrade à faciliter l’application de patchs sur certains modules …
De là à appliquer aux librairies de média ce qui a été fait pour la webView : intégrer comme “module” dans le store …
j’ai lu quelque part que ce n’était plus le cas depuis android 6.0
a vérifier
“Et pour tous les autres ?” -> In ZE baba ?
" />
Idéalement oui,
mais comme les constructeurs bidouillent l’OS via ajout, modification suppression de librairies,
la maj de sécurité de stagefright mal appliquée par exemple casserait toute la partie multimédia de ton téléphone. (adieu mms, videos etc.)
J’ai un Galaxy Note 4, et pour le moment Samsung joue bien le jeu en sortant les mises à jours chaque moi. J’espère que sa durera.
Sinon j’espère que Google trouvera un moyen de pouvoir mettre à jour son système partiellement vu le nombre d’autres constructeurs qui ne jouent pas le jeu.
Samsung ne joue pas plus le jeu que les autres sur l’immense majorité des téls qu’ils peuvent vendre, c’est à dire tous leurs milieu et bas de gamme qui représentent bien sûr le plus gros de leurs volumes…
" />
Oui c’est vrai mais ce n’est plus du ressort de Google.
Là on parle des flagships, les téléphones qui devraient être exemplaires et donc qui devraient être mis à jour presque en continu.
Les flagships de Samsung sont mis a jour tous les mois, ce n’est peut-être pas parfait mais c’est déjà une avancée. D’ou ma deuxième parti de commentaire, il faudrait que Google trouve le moyen de mettre a jour une partie du système sans avoir besoin des constructeurs.
c’est mieux qu’aucun tél chez samsung oui, mais ça reste toujours une large minorité des téls qui sont mis à jour chez samsung… après oui c’est du “y a qu’à, faut qu’on”, mais pendant ce temps là y a rien qui bouge chez personne, à part le nombre de failles non corrigées qui s’accumulent sur plus d’1 milliard d’android sur la planète.
Je suis pas sur que t’ai raison y a pas si longtemps W10 à été déployer pour l’instant sur 10 millions de PC. Alors ton argument de pilotes ne veux rien dire. Et Google envoi certaine MAJ importante de temps en temps. Android = Linux je vois pas ou est le problème de diffuser les MAJ pour tout le monde. WP Microsoft c’est en route c’est vrais que pour eux c’est facile pas trop de WP en France encore.
comment?!? Google sort un patch sur une branche qui n’est pas la dernière version d’Android, ils s’améliorent
ils ont pas le choix, ils ont promis que les Nexus auraient 2 ans de mise à jour OS et 3 ans de mise à jour de sécurité
" />
j attend la fin de mon smartphone android et je passerais sur smartphone windows 10 au moins il y aura des mise a jour pour tous le monde