Google a publié son bulletin de sécurité Android mensuel pour février. Un bulletin plutôt copieux, avec en tête d'affiche une vulnérabilité critique qui permet d'attaquer Android avec une simple image PNG malicieusement conçue.

Ce n'est pas sans rappeler la fameuse faille Stagefright de 2015, et les failles similaires qui ont suivi. Ces failles concernaient déjà le multimédia et permettaient d'attaquer au moyen de MMS malicieux.

Cette fois, une simple image PNG suffit, et une attaque réussie permet d'exécuter du code arbitraire dans le cadre d'un processus privilégié.

Google souligne que le correctif a été poussé dans AOSP (Android Open Source Project) et que les fabricants d'appareils ont été avertis au moins un mois avant la publication du bulletin de sécurité. Google recommande très vivement aux utilisateurs d'Android d'appliquer les mises à jour de sécurité. Même si, d'après Mountain View, aucun exploit de cette faille n'existerait à l'heure actuelle

Seulement voilà, comme chacun sait, avant que les correctifs arrivent sur les appareils, il faut un certain temps, comme dirait Fernand Raynaud. A supposer même qu'ils arrivent un jour.

Pour protéger vos appareils, une bonne précaution, autant que faire se peut, est de configurer vos applications afin qu'elles n'affichent pas les contenus multimédia par défaut, les images en l'occurrence. Mais bien sûr, vous pouvez vous faire attaquer simplement en visitant une page Internet comportant une image PNG malicieuse. Surfez prudemment !