Google corrige plusieurs vulnérabilités critiques pour Android

Google a publié son bulletin de sécurité d’avril pour son système d’exploitation pour téléphones mobiles Android. Le bulletin référence 89 vulnérabilités qui ont été corrigées pour les versions 7.0 à 9.0, les versions antérieures n'étant plus maintenues.

Ce bulletin comprend deux lots de correction ; le premier (2019-04-01) comprend la correction de 11 vulnérabilités cadriciels et systèmes, et le second (2019-04-05) comprend 4 corrections systèmes et 74 corrections liées à des composants matériels fabriqués par Qualcomm.

Ces différentes vulnérabilités permettent à un attaquant de gagner en privilèges, d’exécuter du code à distance ou encore de divulguer des informations d'un utilisateur.

Détails techniques :

Vulnérabilités corrigées dans le lot 2019-04-01 :

• CVE-2019-2027 [CVSS v3 8.8] et CVE-2019-2028 [CVSS v3 8.8] (Sévérité critique) :  Vulnérabilités présentes dans le « Media Framework » d’Android. Ce cadriciel ( « Framework ») utilisé pour la gestion des médias sur les téléphones Android (photos, vidéos, fichiers, etc.) comprend deux vulnérabilités qui permettraient à un attaquant d’exécuter du code à distance dans un contexte privilégié. Une simple interaction de l’utilisateur avec un fichier spécialement créé par l’attaquant pourrait ainsi permettre de compromettre le système.
• CVE-2019-2026 [CVSS v3 7.8] (Sévérité haute) : Défaut présent dans le « Media Framework » permettant une élévation de privilège à partir d’une application malveillante. Et également la correction de 5 dysfonctionnements permettant de gagner en privilèges et 3 permettant la divulgation d’informations à l’insu de l’utilisateur.

Vulnérabilités corrigées dans le lot 2019-04-05 :

• CVE-2019-2029 [CVSS v3 8.8] (Sévérité critique) : Défaut permettant l’exécution de code malveillant à distance dans un contexte privilégié à partir d’un fichier malveillant avec lequel l’utilisateur interagit.
• CVE-2019-2032 [CVSS v3 7.8] et CVE-2019-2041 [CVSS v3 7.3] (Sévérité haute) : Dysfonctionnement permettant une élévation de privilèges.
• CVE-2019-2037 [CVSS v3 7.5] (Sévérité haute) : Dysfonctionnement permettant la divulgation d’informations à l’insu de l’utilisateur. Et également 74 vulnérabilités pour les composants Qualcomm. Les détails concernant ces vulnérabilités ne sont pas fournis par Android, hormis leur sévérité.