Google publie des mises à jour pour Android et Chrome

Google a publié son bulletin de sécurité de décembre pour le système d'exploitation Android, ainsi que des mises à jour de sécurité pour le navigateur Chrome. Le bulletin Android référence 53 vulnérabilités qui ont été corrigées sur le système d'exploitation pour les versions 7 à 9, les versions antérieures n'étant plus maintenues. Concernant Chrome, ce sont 43 vulnérabilités au total qui ont été corrigées.

Parmi les vulnérabilités corrigées sur Android, 11 sont considérées comme très critiques, les autres évaluées au niveau de criticité importante. L'exploitation de ces vulnérabilités critiques pourrait entraîner de l’exécution de code à distance, ou un accès à de l'information protégée. 

Les bulletins Android se divisent en deux parties :

  • Dans la première, on retrouve des vulnérabilités corrigées par l'équipe de développement Android. Comme pour le mois de novembre, les vulnérabilités critiques concernent le Media Framework, la bibliothèque Android de gestion du son et de l'image. En utilisant un fichier média spécialement conçu, un attaquant pourrait exécuter du code avec des privilèges élevés sur un appareil. Aucun détail supplémentaire n'a été révélé par Google, qui a pour habitude de ne pas détailler davantage les vulnérabilités dans ses bulletins mensuels.
  • Dans la seconde, on peut retrouver des vulnérabilités portant sur des composants maintenus par les prestataires externes. Sur les vulnérabilités rapportées dans ce bulletin, 17 concernent directement Android, les autres ont essentiellement été notamment rapportées par Qualcomm. Le constructeur fournit les puces Snapdragon, utilisées sur la plupart des smartphones Android. Celui-ci n'a d'ailleurs révélé que peu d’informations sur les vulnérabilités rapportées. Le bulletin publié par le constructeur ne fait pas en effet mention de toutes les vulnérabilités diffusées par Google. D'autres constructeurs de téléphones ont également publié des bulletins de sécurité relatifs aux vulnérabilités corrigées sur Android, comme Samsung et LG. En plus des vulnérabilités spécifiques à Android, ces constructeurs ont ainsi corrigés des vulnérabilités propres à leurs produits. Samsung a ainsi corrigé 40 vulnérabilités supplémentaires, tandis que LG en a corrigé 3. Les détails sur les produits affectés sont inclus dans les bulletins des constructeurs (voir Liens).

Enfin, sur les 43 vulnérabilités corrigées sur Chrome pour les systèmes Windows, Mac et Linux, aucune vulnérabilité critique n'est à signaler. Ce patch inclut des correctifs pour 13 vulnérabilités importantes. La nouvelle version stable de Chrome, portant le numéro 71, est disponible depuis le 4 décembre.

Informations
+

Risques

  • Elévation de privilèges
  • Exécution d'un code arbitraire

Criticité

  • Score CVSS : en cours d'évaluation

Existence d’un code d’exploitation de la vulnérabilité

  • Il n’existe pas à ce jour de code publiquement disponible permettant d’exploiter les vulnérabilités corrigées. Google informe qu'à leur connaissance, celles-ci n'ont pas été exploitées.

Composants & versions vulnérables

  • Les vulnérabilités ont été communiquées aux partenaires d’Android au moins un mois avant la publication de ce bulletin.

CVE

  • Voir les  différentes listes dans la partie Liens

Recommandations
+

Mise en place de correctif de sécurité

  • Afin de mettre à jour le système Android, les utilisateurs sont invités à se renseigner auprès du fabricant de leur appareil si des mises à jour sont disponibles.

Solution de contournement

  • Aucune solution de contournement n'a été proposée.