Disponibilité de Programmez! #240

Programmez! #240 sera disponible en deux étapes :
A partir du 7 mai : disponibilité du PDF. Envoi de la version papier aux abonnés et disponibilité dans notre boutique en ligne.
27 mai : sortie du numéro dans les kiosques.

Abonnés papier : Nous mettons Programmez! #240 PDF à votre disposition dans votre compte utilisateur sous un onglet dédié en attendant. Pour y accéder, il vous suffit de saisir votre n° d'abonné (ou éventuellement le ressaisir comme pour l'accès aux archives) dans votre compte utilisateur, si ce n'est pas déjà fait. Si vous ne connaissez pas votre numéro d'abonné, vous pouvez l'obtenir à cette page. Si vous ne possédez pas encore de compte utilisateur, il vous suffit d'en créer un.

Metaphor : le retour de la faille Stagefright sur Android

Par:
fredericmazue

jeu, 17/03/2016 - 16:18

Stagefright est une vulnérabilité Android qui a défrayé la chronique au cours de l'été 2015 en raison de sa gravité. Son exploit permettait en effet de prendre le contrôle total du smartphone attaqué.

L'attaque de cette vulnérabilité pouvait se faire avec un simple MMS contenant une vidéo en fichier attaché. Si le smartphone attaqué est configuré par défaut pour lire ce genre de contenu, l'utilisateur n'a même pas besoin de faire une erreur pour ce retrouver victime.

La vulnérabilité se trouve dans la librairie Stagefright, d'où son nom. Une vulnérabilité qui touchait quasiment tous les smartphones Android, et difficile à combler. Google a du s'y reprendre à plusieurs fois.

Or voilà que la librairie Stagefright s'avère à nouveau vulnérable. La société de sécurité NorthBit, qui confirme que Stagefright est la pire vulnérabilité jamais découverte sur Android, vient de publier un document technique très complet montrant comme la librairie Stagefright peut être attaquée par une méthode similaire aux attaques précédentes, toujours à partir d'un fichier multimédia malicieux. Pas via un MMS cette fois, mais avec un fichier multimédia placé sur un site web.

Baptisée Metaphor par NorthBit, cette attaque permet de passer outre la protection normalement apportée par l'adressage mémoire aléatoire (ASLR). De fait sont vulnérables les terminaux tournant avec Android 2.2, 4.0, ainsi qu'Android 5.0 et 5.1, ce qui représente un nombre considérable d'appareils.

NorthBit a testé son exploit avec succès sur les Nexus 5, le HTC One, le Samsung Galaxy S5 et le LG G3.