Zimperium, la société de sécurité qui avait déjà découvert la redoutable faille Stagefright au printemps dernier vient de réitérer en annonçant l'existence de deux nouvelles vulnérabilités très graves dans Android.

Ces vulnérabilités se trouvent dans le traitement des fichiers vidéo MP3 et MP4. Dans le traitement des vidéos elles-mêmes, mais aussi dans leurs métadonnées. Concrètement : la seule prévisualisation d'une vidéo, ou la pré-écoute d'une chanson suffit pour être vulnérable.

L'attaque de ces vulnérabilités consiste à faire lire un fichier MP3 ou MP4 malicieux, ce qui peut se faire via n'importe quel vecteur, principalement le navigateur Web bien sûr.

Ces vulnérabilités permettent l'exécution de code à distance. La première vulnérabilité se trouve dans la librairie libutils et concerne chaque appareil Android depuis Android 1.0 sorti en 2008. La deuxième vulnérabilité se situe à nouveau dans Stagefright.

Zimperium indique avoir réussi à exploiter la faille via Stagefright sur Android 5.0 et ultérieurs. Zimperirum précise que tous les Android antérieurs peuvent être impactés, si au sein de ceux-ci, une application tierce utilise les fonctions vulnérables de libutils.

Voilà donc plus d'un milliard d'appareils potentiellement menacés, et menacés pour longtemps si l'on considère à quelle vitesse les appareils Android sont mis à jour.

Attention à ne pas lire de vidéos douteuses en attendant...