Energysquare propose un astucieux ruban à coller au dos d'un smartphone pour bénéficier d'une capacité de recharge sans fil.

L'Image du jour

Energysquare propose un astucieux ruban à coller au dos d'un smartphone pour bénéficier d'une capacité de recharge sans fil.

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Google corrige des failles WiFi critiques dans Android

Si Google a déjà publié ses mises à jour pour ses Nexus, les autres constructeurs (Samsung, Sony et autres) le feront à leur rythme, pas toujours rapide.

Si Google a déjà publié ses mises à jour pour ses Nexus, les autres constructeurs (Samsung, Sony et autres) le feront à leur rythme, pas toujours rapide.

Pour contrer les cyber-pirates qui pourraient tenter de compromettre les terminaux Android équipés de circuits WiFi Broadcom et Qualcomm, Google a publié une batterie de patchs pour son OS mobile.

Pas moins de treize vulnérabilités dont deux considérées comme critiques sur la plate-forme Android (Marshmallow 6.0.1 et Lollipop 5.1.1) sont corrigées par une série de patchs publiés par Google. Deux de ces failles pourraient permettre à des cyber-pirates de prendre le contrôle de terminaux Android situés sur le même réseau WiFi. Elles concernent toutes deux le pilote de la puce WiFi Broadcom qui équipe certains terminaux Android.

Ces deux vulnérabilités critiques peuvent être exploitées pour envoyer des paquets spécialement conçus pour corrompre la mémoire des dispositifs concernés et exécuter du code arbitraire dans le noyau - la zone privilégiée la plus élevée du système d'exploitation. Ces failles sont qualifiées de critiques car l'attaque ne nécessite aucune interaction de la part de l'utilisateur. Elles peuvent être exploitées à distance et conduire à une compromission totale du terminal.

Risque d'exécution de code à distance dans Mediaserver

Le pilote WiFi de Qualcomm pour Android recèle aussi une vulnérabilité critique qui pourrait entraîner l'exécution de code arbitraire avec des privilèges noyau. Cependant, elle ne peut être exploitée que par une application installée localement. Enfin, une troisième vulnérabilité a été découverte dans le composant WiFi et pourrait être exploitée par une application locale pour exécuter du code avec des privilèges administrateur. Cette vulnérabilité a été jugée élevée.

Les correctifs de Google fixent aussi deux vulnérabilités avec exécution de code à distance dans Mediaserver, qui gère l'analyse de fichiers audio et vidéo, et une faille critique dans le gestionnaire de performance de Qualcomm pour processeurs ARM et l’autre dans l’élément Debugger demon. Les vulnérabilités dans le module de performance Qualcomm et dans Debugger demon pourraient être exploitées par des applications locales et la faille dans Mediaserver pourrait être exploitée par le biais des fichiers multimédia spécialement conçus chargés à partir de sites web ou intégrés dans des messages multimédia.

Des mises à jour déjà disponibles pour les Nexus

Google a également corrigé des vulnérabilités à impact élevé dans certaines librairies (notamment Mediaserver et Libmediaplayerservice), ainsi que deux failles modérées dans l'assistant d'installation. Ces défauts peuvent conduire à un déni de service, à la divulgation d'informations, à l'escalade de privilèges et au contournement de sécurité.

Le 4 janvier dernier, Google a partagé des informations au sujet de ces vulnérabilités avec ses partenaires OEM et propose depuis hier des mises à jour pour ses terminaux Nexus. La société va également envoyer ces patchs à l'Open Source Project Android afin que d'autres systèmes d'exploitation basés sur son OS tels que CyanogenMod puissent les intégrer.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité