BT

Toutes les versions Android pourraient être affectées par la vulnérabilité Dirty COW de Linux

| par Sergio De Simone Suivre 17 Abonnés , traduit par Stéphane Wojewoda Suivre 13 Abonnés le 04 nov. 2016. Durée de lecture estimée: 1 minute |

La découverte récente d'une vulnérabilité Linux d'escalade de droits nommée Dirty COW semble pouvoir affecter toutes les versions Android d'après des spécialistes de la sécurité.

L'expert en sécurité David Manouchehri explique à Ars Technica qu'il est parvenu à prendre un accès root sur cinq plateformes Android différentes qu'il a utilisées. Il continue en disant que cette vulnérabilité devrait être très facile à exploiter pour toute personne familière avec le système de fichier Android et qu'elle pourrait affecter toutes les versions Android depuis la 1.0. Manouchehri a construit son code sur une preuve de concept disponible sur GitHub, mais d'autres chercheurs ont développé une manière différente pour accéder en root à un appareil d'après une autre faille disponible au public, d'après Ars Technica.

Dirty COW est présent dans le noyau Linux depuis des années, écrit Linus Torvald dans le commentaire pour le patch le fixant. Il explique que la vulnérabilité avait été réglée à l'origine par lui il y a 11 ans, mais a été réintroduite en 2005. Dirty COW tient son nom de la manière dont Linux “gère la rupture de copie-écriture sur les mappings de mémoire en lecture seule”.

D'après Phil Oester, qui a découvert la faille, tous les utilisateurs Linux devraient mettre à jour leur système dès que possible, la faille ayant déjà été exploitée en situation réelle :

Un des sites que j'administre a été compromis, et une exploitation de cette faille a été uploadée et exécutée.

Tandis qu'un patch pour Dirty COW est déjà disponible, tous les systèmes Linux peuvent être facilement traités. Ce qui est assez peu clair est la vitesse à laquelle cette correction va se déployer sur la base installée Android. En effet, même si Android est patché avec la prochaine mise à jour de sécurité, des limites fixées par les fabricants ou le manque de support des fournisseurs pourraient rendre impossible de le déployer massivement sur tous les appareils.

Evaluer cet article

Pertinence
Style

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Discuter

Se connecter à InfoQ pour interagir sur ce qui vous importe le plus.


Récupérer votre mot de passe

Follow

Suivre vos sujets et éditeurs favoris

Bref aperçu des points saillants de l'industrie et sur le site.

Like

More signal, less noise

Créez votre propre flux en choisissant les sujets que vous souhaitez lire et les éditeurs dont vous désirez suivre les nouvelles.

Notifications

Restez à jour

Paramétrez vos notifications et ne ratez pas le contenu qui vous importe

BT