Stagefright 2.0 : retour sur la faille Androïd qui a fait grand bruit chez Google !

Alors que la première vague venait, à peine, d'être colmatée par Google, une nouvelle version de la vulnérabilité, estampillée 2.0, a été découverte le 1er Octobre dernier au sein de fichiers audios de type MP3 et MP4 !

 

Stagefright_2.0

 

En effet, mise en lumière par la même équipe qui a découverte la faille initiale lors d'une publication officielle en Juillet dernier (pour une découverte "officieuse" début Avril dernier !) - Zimperium Zlabs - cette vulnérabilité, baptisée "Stagefright 2.0" pour l'occasion, réside dans deux fichiers de type librairie (bibliothèque) :

  • D'une part, au sein de libutils qui affecte les versions Androïd 1.0 et supérieures ;
  • D'autre part, au sein de libstagefright ;

 

 Android_faille 2

Outre une possible exécution du code à distance via les deux types de fichiers audios incriminés, le blog sécuritaire confirme que la vulnérabilité toucherait, également, Androïd, pour les versions 5.0 et supérieures, le tout, via une URL frauduleuse renvoyant à un site miroir, ou bien une attaque de type MITM qui consiste à intercepter les transmissions entre deux parties dans le but de corrompre / prendre le contrôle des données, ou encore via une application mobile tierce qui nécessite l'utilisation de l'une et / ou l'autre des librairies incriminées.

Si, la semaine dernière, seule la première faille liée à cette variante "audio" de Stagefright avait déjà été considérée en terme de patch correctif par Google (CVE-2015-6602 : libutils), il semble que les deux vulnérabilités aient bien été officiellement considérées par Google puisque ce dernier vient de déployer, depuis hier, le 5 Octobre dernier, un patch correctif pour ses produits Nexus avec, pour Stagefright, pas moins d'une quinzaine de vulnérabilités colmatées, Stagefright 2.0 incluses, bien évidemment.

 

Android_correctif mise à jour

Et, bien évidemment aussi, gageons que les autres fabricants usitant la technologie Androïd seront aussi réactifs que la firme de Redmond dans la publication de ces correctifs sécuritaires qui permettraient de sécuriser pas moins d'un milliard de smartphones sous cette technologie. Pour les plus pressés / inquiets du genre (attention, pour les initiés seulement : demandez conseil sur le dépannage de SOSOrdi.net, dans le doute avant toute manipulation hasardeuse !), les images sont disponibles >ici< voire >< (si version non stable / bêta etc...), sinon attendez patiemment la mise à jour sur votre smartphone Androïd... A suivre !

 

Source : Generation-nt.com