Google publie un correctif de sécurité critique pour Android

Un bogue affectant le noyau de Linux avait reçu un correctif en avril 2014. Mais il n’avait pas été qualifié en tant que vulnérabilité de sécurité avant le 2 février 2015 sous la référence CVE-2015-1805.

Le 19 février 2016, le spécialiste de la sécurité CORE Team a informé Google que la vulnérabilité était exploitable sur Android. Toutes les versions d’Android avec un noyau Linux antérieur à la version 3.18 sont vulnérables, y compris tous les appareils de la gamme Nexus, et tous les appareils Android avec un noyau version 3.4, 3.10 et 3.14.

La faille peut être exploitée pour exécuter tout code arbitraire avec les privilèges les plus élevés.

Google développait alors un correctif à distribuer lors des mises à jour mensuelles.

Un autre spécialiste de la sécurité, Zimperium, a alerté Google qu’une application du magasin virtuel Google Play utilisait activement la vulnérabilité de sécurité sur le Nexus 5.

Google a donc envoyé le 16 mars 2016 des correctifs à ses partenaires, et publié le code source des correctifs sur l’entrepôt de l’Android Open Source Project. Un correctif pour les appareils Nexus devrait être disponible dans les prochains jours.

Même si le risque est atténué par le nettoyage du Google Play et le refus d’installer de telles applications si la fonctionnalité « Vérifier les applications » d’Android est activée, Google conseille la mise à jour dans les meilleurs délais, puisqu’un appareil affecté peut être entièrement compromis.