La faille dénommée « Dirty Cow » a été corrigée pour les utilisateurs Linux, mais la communauté Android devra attendre le mois prochain. Étonnamment, la faille qui permet aux applications de contourner les protections clés du système d'exploitation n’est pas concernée par le patch livré par Google pour ce mois de novembre.
Cette faille est présente au coeur du noyau Linux depuis 2007, soit peu avant que les équipes de Google ne l’intègrent le système d'exploitation open source dans Android. La faille indexée CVE-2016-5195 permet d’escalader les privilèges du système d’exploitation mobile et affecte toutes ses versions depuis sa création. Elle a été rendue publique le 19 octobre dernier et un correctif était disponible dans les cartons de la firme. Seulement, le patch correctif n’a pas encore été livré. Un porte-parole de Google a déclaré que le patch Dirty Cow sera publié en décembre.
Daniel Micay, développeur spécialisé sur Android a appuyé sur l’importance du problème dans un article publié par Ars Technica : "C'est un gros problème parce que c'est très facile à exploiter". Cette faille est d’ailleurs déjà exploitée pour dans des actes malveillants à l’encontre de serveurs Linux, permettant à des utilisateurs non autorisés d’obtenir des droits administrateurs. Cette faille est aussi exploitée par des utilisateurs Android souhaitant contourner les limitations imposées par les fabricants ou les opérateurs sur leurs appareils mobiles.
Source : arstechnica.com