Google publie son bulletin de sécurité de Juillet pour Android

Les correctifs du mois de Juillet corrigent 33 vulnérabilités dont 9 qui sont considérées comme critiques, sur le système d’exploitation pour les versions 7, 8 et 9. Par ailleurs, les vulnérabilités ont été communiquées aux partenaires d’Android au moins un mois avant la publication de ce bulletin.

Aucune exploitation de ces vulnérabilités n’a été recensée par les experts sécurité Android.

Détails techniques :

Les vulnérabilités critiques concernent 4 catégories :

Media Framework

• CVE-2019-2106, CVE-2019-2107, CVE-2019-2109 [Score CVSSv3 8.8] : Ces différentes vulnérabilités pourraient permettre à un attaquant distant d’exécuter du code arbitraire au sein d’un processus privilégié du système. Pour cela l’attaquant envoi un fichier malveillant spécialement conçu à la victime et convainc celle-ci de l’ouvrir.

System

• CVE-2019-2111 [Score CVSSv3 9.8] : Cette vulnérabilité permet, de manière semblable aux précédentes, à un attaquant d’exécuter du code arbitraire sur le système.

Qualcomm components

• CVE-2019-2308 [Score CVSSv3 7.8], CVE-2019-2330 [Score CVSSv3 5.5] : Ces vulnérabilités concernent respectivement l’élément DSP_Service et le Kernel.

Qualcomm closed-source components

• CVE-2019-2254, CVE-2019-2322, CVE-2019-2327 [Score CVSSv3 9.8] : Les effets des vulnérabilités concernées ne sont pas publics à la date de publication de ce bulletin.