Dans le bulletin de sécurité Android du mois de juin 2018, Google révélait la présence de plusieurs dizaines de failles de sécurité affectant son système d'exploitation qui permettent d'exécuter du code arbitraire, d'élever les privilèges, de dévoiler des données ou encore de lancer une attaque par déni de service.
Google indique que ces failles présentent un risque élevé car elles peuvent être exploitées facilement avec un fichier multimédia corrompu envoyé par e-mail, consulté sur un site web ou reçu par MMS. Ces vulnérabilités ne touchent pas toutes les mêmes appareils, tout dépend du SoC utilisé : MediaTek, NVIDIA, Qualcomm...
Pour ce qui concerne les produits NVIDIA équipés d'une puce Tegra X1 et fonctionnant sous Android comme les consoles de jeu SHIELD TV, trois failles de sécurité ont été recensées :
- CVE-2017-6290 : Le pilote CORE DVFS Thermal peut lire ou écrire des données dans une zone mémoire invalide.
- CVE-2017-6292 : La fonction TA-to-TA du composant TLK TrustZone effectue un calcul qui peut causer un dépassement d'entier.
- CVE-2017-6294 : Le pilote logging du composant TLK TrustZone peut écrire des données dans une zone mémoire invalide.
Ces failles sont présentes dans les versions 6.3 et supérieures du firmware SHIELD Experience y compris les dernières 7.0 et 7.0.1 basées sur Android 8.0 (Oreo). Il est toutefois fort probable que la toute dernière version 7.0.2, dont le déploiement sur SHIELD TV a commencé en milieu de semaine, intègre l'un des deux patchs de sécurité Google requis pour corriger ces failles (2018-06-05 ou 2018-06-01).
|
Modérateur TLD
|
|