Google vient de publier ses bulletins de sécurité pour Android et pour ses propres appareils Pixel/Nexus, édition de décembre 2017.
Ils concernent 48 correctifs disponibles immédiatement pour les propres appareils de Google, affectant les versions 5.1.1 à 8.0 d’Android. Les autres utilisateurs d’Android devront attendre le bon vouloir du fabricant de leur smartphone, ou, selon leur région, celle de leur opérateur mobile.
Les correctifs sont liés au Media Framework (5), aux composants du noyau (9), de Broadcom (1), de MediaTek (1), de NVIDIA (2) et de Qualcomm (26), tout comme de composants du code source propriétaire de Qualcomm (4).
La sévérité de 38 d’entre elles est jugée modérée ou haute, de type élévation de privilège, divulgation d’informations, déni de service ou sans classification disponible.
10 de ces correctifs sont jugés critiques.
Ils corrigent des vulnérabilités de sécurité qui permettent d’exécuter, souvent à distance, du code arbitraire dans un processus privilégié,
D’autres corrigent le défaut fondamental de conception du protocole de sécurité WPA2 du Wi-Fi, dévoilée mi-octobre par l’Université KU Leuven, et baptisée KRACK. Cette vulnérabilité n’étant pas liée, comme la plupart, à un bogue d’implémentation, toutes les implémentations doivent être modifiées pour éliminer le risque.
Alors que Google a adopté le principe de correctifs mensuels pour rassurer les utilisateurs d’Android, les correctifs liés au KRACK arrivent avec un mois de retard.
Ce qui est doublement ironique, puisque l’équipe de sécurité de Google qui cherche des bogues de sécurités dans les logiciels tiers, a d’elle-même imposé à tout éditeur de logiciels la limite arbitraire d’un mois pour mettre à disposition un correctif, une fois informé en confidence de l’existence d’un bogue, avant de divulguer la faille de sécurité au grand public.
Alors que la tolérance habituelle de l’industrie est de plusieurs mois.
Google ne s’applique donc pas les mêmes règles que celles qu’elle impose volontiers et bruyamment aux autres.