Récemment, on a découvert le bogue Dirty Cow dans le noyau linux, qui permet d'accéder aux privilèges du super-utilisateur sans être enregistré :
Vache sale CVE-2016-5195 (de https://dirtycow.ninja/ ) :
Pourquoi l'appelle-t-on le Dirty COW bug ?
"Une condition de concurrence a été découverte dans la façon dont le sous-système de mémoire du noyau du noyau Linux gérait la rupture par copie sur écriture (COW) de fichiers privés mappages de mémoire privée en lecture seule. Un utilisateur local non privilégié pouvait utiliser cette cette faille pour obtenir un accès en écriture à des mappages de mémoire autrement en lecture seule et ainsi augmenter ses privilèges sur le système".
The Guardian - La vulnérabilité de Linux "Dirty Cow" découverte après 9 ans
Cela vaut également pour Android : le système d'exploitation mobile est touché. Alors que les appareils Android haut de gamme, comme le Galaxy S7 et le Pixel, reçoivent régulièrement des mises à jour de sécurité, la grande majorité des appareils Android vendus reçoivent peu, voire pas du tout, de mises à jour après la vente.
Google a refusé de faire des commentaires, mais a confirmé qu'Android est l'une des distributions Linux concernées. La société a mis en ligne un partenaire de sécurité pour alerter les partenaires Android, une des étapes pour que ces partenaires puis la publication d'un patch
L'AFAIK Android M est basé sur Linux 3.4, mais je sais qu'habituellement, avec les distributions Linux supportées qui utilisent des noyaux plus anciens, les corrections de compatibilité et de sécurité peuvent être rétroportées.
Mes appareils androïdes fonctionnent sous Android 6 (Marshmallow) - la plupart d'entre eux sont des Motorola et ont été mis à jour depuis Android 5 (Lollipop) environ six mois après sa sortie - mais je sais aussi que de nombreuses personnes utilisent encore des appareils fonctionnant sous 4 (KitKat) et plus anciens.
Donc, pour obtenir une version plus récente d'Android qui a ce problème (et d'autres) corrigé, dois-je ?
- ... obtenir un nouvel appareil fonctionnant avec Nougat ? Apparemment, les mises à jour sont beaucoup mieux supportées - mais seulement sur les nouveaux appareils qui sont livrés avec (trouver des appareils à prix raisonnable avec Nougat semble difficile au Royaume-Uni au moins).
- ...attendre une mise à jour OTA ?
- ...essayer de faire des mises à jour flash moi-même ? Je pense qu'avec les appareils non-Nexus, c'est difficile... en grande partie à cause des pilotes ?
EDITAR: Ok pour la première partie de la réponse, j'ai trouvé ces derniers disant OUI (malgré la recherche avant de poster...) :
- https://security.stackexchange.com/questions/140430/cve-2016-5195-dirty-cow-on-Android (liens preuve de concept y un article )
- https://security.stackexchange.com/questions/140418/what-is-the-possible-impact-of-dirtyc0w-a-k-a-dirty-cow-bug qui a des réponses.
Comment dois-je appliquer les mises à jour aux anciens appareils ?
