Alors que Google peine encore à déployer les patchs correcteurs de la faille Stagefright, détectée au mois de juillet par Joshua Drake, voilà qu’une nouvelle souche vient d’être découverte. Cette nouvelle faille menace l’intégralité des appareils depuis Android 1.0. Stagefright 2.0-1

Le mois de Juillet dernier, la firme Zimperium déclarait que Stagefright menaçait 950 millions d’appareils Android, soit près de 95% des appareils Android dans le monde.  Cette menace peut se propager par l’intermédiaire d’un simple MMS et d’un fichier multimédia et ne concerne que 95% des appareils sous Android puisque ceux qui sont sous une version antérieure à la 2.2 du système ne sont pas touchés. Poursuivant ses recherches, la firme Zimperium a découvert une nouvelle faille de sécurité, qui ne serait qu’une nouvelle souche de la faille Stagefright, «Voici Stagefright 2.0, un ensemble de deux vulnérabilités qui se manifestent lors du traitement de fichiers audio MP3 ou vidéo MP4 spécialement conçus», a annoncé la firme sur son blog.

Baptisée Stagefright 2.0, par l’équipe de recherche, cette nouvelle faille concerne l’intégralité des appareils depuis Android 1.0 et dispose d’une nouvelle méthode de propagation.  En effet, la faille se propage via une simple page Web et les métadonnées. Elle exploite en fait deux bibliothèques incluses dans l’ensemble des appareils : libutils et libstragefright. La lecture de fichiers en MP3 ou MP4 sur la page (et infectés par un malware) permet à un pirate de prendre le contrôle d’un appareil Android.

Prévenus par la faille, l’équipe de Google a confirmé au blog Ars Technica que la situation liée à cette nouvelle souche de Stagefright sera corrigée avec le déploiement de nouvelles mises à jour prévu la semaine prochaine. Une fois ce correctif publié, les détenteurs d’appareils Android devront patienter jusqu’à une semaine de plus avant que la mise à jour soit distribuée vers les appareils de la gamme Nexus, et davantage en ce qui concerne les appareils d’autres marques.

Il faut noter qu’il existe une application baptisée  Stagefright Detector qui permet de détecter Stagefright, cependant elle ne supporte pas encore la v2.0 de la menace. Une mise à jour de l’application est prévue lorsque Google publiera son patch pour Android.

Telecharger-sur-Google-play-Small