Multiples vulnérabilités sur Android
Date de publication :
Plusieurs vulnérabilités ont été corrigées dans plusieurs versions d’Android à l’occasion du patch d’avril 2020. Elles peuvent permettre à un attaquant de provoquer une exécution de code arbitraire, une atteinte à la confidentialité des données ainsi qu’un problème de sécurité non spécifié par l’éditeur.
CVE-2019-8457 [Score CVSS v3 : 9.8] : La fonction rtreenode() de SQLite3 est vulnérable à une lecture hors-limites lors du traitement de tables R-Tree invalides. Un attaquant peut exploiter cette vulnérabilité afin d’accéder à des données sensibles.
CVE-2019-5018 [Score CVSS v3 : 8.1] : La fonction fenêtre de SQLite3 possède une vulnérabilité de type “use-after-free”. À l’aide d’une commande SQL, un attaquant peut exploiter cette vulnérabilité afin d’exécuter du code arbitraire à distance.
CVE-2020-0070 [Score CVSS v3 : 9.8] : Une vulnérabilité dans le système peut permettre à un attaquant distant, à l’aide d’un fichier spécialement forgé, d’exécuter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Atteinte à la confidentialité des données
- Autre problème de sécurité non spécifié
Criticité
- Score CVSS V3 : 9.8 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible pour l’instant
Composants vulnérables
- La liste des versions vulnérables d’Android est disponible ici
CVE
- La liste des CVE est disponible ici
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Android avec le correctif de sécurité d’Avril 2020
Solution de contournement
Aucune solution de contournement n’est disponible