Pas moins de treize vulnérabilités dont deux considérées comme critiques sur la plate-forme Android (Marshmallow 6.0.1 et Lollipop 5.1.1) sont corrigées par une série de patchs publiés par Google. Deux de ces failles pourraient permettre à des cyber-pirates de prendre le contrôle de terminaux Android situés sur le même réseau WiFi. Elles concernent toutes deux le pilote de la puce WiFi Broadcom qui équipe certains terminaux Android.

Ces deux vulnérabilités critiques peuvent être exploitées pour envoyer des paquets spécialement conçus pour corrompre la mémoire des dispositifs concernés et exécuter du code arbitraire dans le noyau - la zone privilégiée la plus élevée du système d'exploitation. Ces failles sont qualifiées de critiques car l'attaque ne nécessite aucune interaction de la part de l'utilisateur. Elles peuvent être exploitées à distance et conduire à une compromission totale du terminal.

Risque d'exécution de code à distance dans Mediaserver

Le pilote WiFi de Qualcomm pour Android recèle aussi une vulnérabilité critique qui pourrait entraîner l'exécution de code arbitraire avec des privilèges noyau. Cependant, elle ne peut être exploitée que par une application installée localement. Enfin, une troisième vulnérabilité a été découverte dans le composant WiFi et pourrait être exploitée par une application locale pour exécuter du code avec des privilèges administrateur. Cette vulnérabilité a été jugée élevée.

Les correctifs de Google fixent aussi deux vulnérabilités avec exécution de code à distance dans Mediaserver, qui gère l'analyse de fichiers audio et vidéo, et une faille critique dans le gestionnaire de performance de Qualcomm pour processeurs ARM et l’autre dans l’élément Debugger demon. Les vulnérabilités dans le module de performance Qualcomm et dans Debugger demon pourraient être exploitées par des applications locales et la faille dans Mediaserver pourrait être exploitée par le biais des fichiers multimédia spécialement conçus chargés à partir de sites web ou intégrés dans des messages multimédia.

Des mises à jour déjà disponibles pour les Nexus

Google a également corrigé des vulnérabilités à impact élevé dans certaines librairies (notamment Mediaserver et Libmediaplayerservice), ainsi que deux failles modérées dans l'assistant d'installation. Ces défauts peuvent conduire à un déni de service, à la divulgation d'informations, à l'escalade de privilèges et au contournement de sécurité.

Le 4 janvier dernier, Google a partagé des informations au sujet de ces vulnérabilités avec ses partenaires OEM et propose depuis hier des mises à jour pour ses terminaux Nexus. La société va également envoyer ces patchs à l'Open Source Project Android afin que d'autres systèmes d'exploitation basés sur son OS tels que CyanogenMod puissent les intégrer.