Multiples vulnérabilités dans Google Android

Date de publication :

Google a annoncé la découverte de 44 vulnérabilités sur le système d'exploitation Android. Les correctifs feront partie du patch de décembre 2019. La disponibilité pour le public de ces correctifs dépendra de la rapidité de leur déploiement par les constructeurs d’ordiphone (smartphone).

Parmi ces 44 vulnérabilités, Google indique que 6 vulnérabilités constituent des failles critiques et 3 sont des bogues modérés ne touchant qu’Android 10. L’exploitation de certaines vulnérabilités pourrait permettre une élévation injustifiée de privilèges afin de prendre le contrôle à distance d’un ordiphone (smartphone), récupérer des données personnelles à l’insu du propriétaire de l’ordiphone ou encore, provoquer un dysfonctionnement de l’ordiphone. Les vulnérabilités les plus critiques sont exposées ci-après : 

CVE-2019-2232 [CVSSv3 7.5 ] : L'exploitation de cette vulnérabilité affectant l'infrastructure logicielle, jugée critique par Google, pourrait permettre à un attaquant distant, utilisant un message spécialement conçu de provoquer un déni de service permanent.

CVE-2019-2222 [CVSSv3 7.8] : L'exploitation de cette vulnérabilité affectant la bibliothèque logicielle de gestion globale du son et de l’image (framework multimédia), jugée critique par Google, pourrait permettre à un attaquant distant, utilisant un fichier spécialement conçu, d'exécuter du code arbitraire dans le contexte d’une élévation de privilèges.

CVE-2019-2224 [CVSSv3 7.8 ] : L'exploitation de cette vulnérabilité affectant le système Android, jugée critique par Google, pourrait permettre à un attaquant distant, utilisant un fichier spécialement conçu, d'exécuter du code arbitraire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire à distance
  • Déni de service à distance
  • Atteinte à la confidentialité des données
  • Elévation de privilèges

Criticité

  • Score CVSSv3 : 7.8 max

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Google Android : versions antérieures au correctif du 02 décembre 2019.

CVE

  • CVE-2019-2232
  • CVE-2019-9464
  • CVE-2019-2217
  • CVE-2019-2218
  • CVE-2019-2220
  • CVE-2019-2221
  • CVE-2019-2222
  • CVE-2019-2223
  • CVE-2019-2224
  • CVE-2019-2225
  • CVE-2019-2226
  • CVE-2019-2227
  • CVE-2019-2228
  • CVE-2019-2229
  • CVE-2019-2230
  • CVE-2019-2219
  • CVE-2019-2231
  • CVE-2018-20961
  • CVE-2019-15220
  • CVE-2019-15239
  • CVE-2019-10557
  • CVE-2018-11980
  • CVE-2019-10480
  • CVE-2019-10481
  • CVE-2019-10536
  • CVE-2019-10537
  • CVE-2019-10595
  • CVE-2019-10598
  • CVE-2019-10601
  • CVE-2019-10605
  • CVE-2019-10607
  • CVE-2019-2304
  • CVE-2019-2242
  • CVE-2019-10500
  • CVE-2019-10525
  • CVE-2019-10482
  • CVE-2019-10487
  • CVE-2019-10516
  • CVE-2019-2274
  • CVE-2019-10513
  • CVE-2019-10517
  • CVE-2019-10600
  • CVE-2019-9465
  • CVE-2019-9468
  • CVE-2017-18595
  • CVE-2019-9469
  • CVE-2019-9470
  • CVE-2019-9471
  • CVE-2019-9472
  • CVE-2017-18379

Solutions ou recommandations

Mise en place de correctif de sécurité

  • Mettre à jour Android lorsque le constructeur rendra les correctifs disponibles.

Solution de contournement

  • Aucune solution n'a été proposée autre que la mise à jour.

Liens