Le système de mise à jour mensuelle de Google continue d'offrir des correctifs importants aux vulnérabilités dont beaucoup de gens ignorent l'existence sur Android, et la liste de mars comprend 19 problèmes sur tout le système d'exploitation. Ces mises à jour sont classées comme modérées, élevées ou critiques dans leur gravité, et avec la mise à jour publiée pour résoudre ces problèmes, vous trouverez une explication détaillée de ce qui est corrigé. Comme c'est souvent le cas avec ces mises à jour mensuelles, des contributions viennent du monde entier ainsi que des équipes de sécurité internes de Google pour s'assurer qu'Android s'améliore toujours.
Voici ce que vous devez savoir sur les correctifs mis à disposition dans le niveau de sécurité du 1er mars 2016, ainsi que sur la date à laquelle votre téléphone ou votre tablette recevra la mise à jour.
La mise à jour de mars pour Android résout six problèmes critiques, huit problèmes élevés et deux problèmes modérés. Il s'agit notamment des vulnérabilités d'élévation des privilèges, des vulnérabilités d'exécution de code à distance, des vulnérabilités de déni de service à distance et des vulnérabilités de contournement d'atténuation sur l'ensemble du système d'exploitation. Le plus important de ces problèmes, selon Google, était une vulnérabilité d'exécution de code à distance trouvée dans Mediaserver et libvpx. Ces problèmes auraient pu permettre à un tiers d'utiliser un support MMS ou un support de lecture de navigateur pour exécuter du code sur votre téléphone ou votre tablette au moyen d'un fichier spécialement conçu qui s'est comporté de manière malveillante au lieu de simplement jouer médias. Google a publié des correctifs jusqu'à Android 4.4.4 pour résoudre ces problèmes.
Comme c'est souvent le cas avec ces mises à jour, Google affirme qu'il n'existe aucune preuve d'attaques actives utilisant ces vulnérabilités.
Les vulnérabilités d'élévation des privilèges dans les pilotes MediaTek et les composants de performance de Qualcomm ont également été corrigées dans cette mise à jour, ainsi que dans Mediaserver et Keyring. Si elles étaient exploitées, ces vulnérabilités auraient pu permettre d'accéder à plus que l'application n'avait été autorisée à accéder. Il en va de même pour les vulnérabilités de divulgation d'informations dans la téléphonie, libstagefright, WideVine et le noyau Android, uniquement au lieu de accéder à davantage de fonctions du système une application malveillante aurait pu avoir accès à plus d'informations que vous n'auriez autorisé accès.
Comme c'est souvent le cas avec ces mises à jour, Google affirme qu'il n'existe aucune preuve d'attaques actives utilisant ces vulnérabilités. Les images des téléphones et tablettes Nexus contenant cette mise à jour de mars sont désormais disponibles sur le site Google Developers, avec des mises à jour en direct attendues dans la semaine. Google a fourni ces mises à jour à tous ses partenaires Android il y a au moins 30 jours, et aux entreprises qui se sont engagées à fournir des mises à jour de sécurité le plus rapidement possible - comme BlackBerry qui expédie déjà la mise à jour de mars sur le Priv - détaillera leurs plans de mise à jour dès qu'ils peut.