Plusieurs vulnérabilités critiques corrigées sur Android

Google a publié son bulletin de sécurité mensuel pour Android. Ce dernier répertorie 42 vulnérabilités corrigées sur le système d’exploitation mobile ainsi que sur des composants liés à Nvidia et Qualcomm. Le bulletin concerné se découpe en deux parties: la première porte sur les vulnérabilités corrigées par l'équipe de développement d'Android, tandis que la seconde adresse les vulnérabilités portant sur des composants maintenus par Qualcomm et Nvidia.

Parmi les vulnérabilités corrigées, 11 sont jugées comme critiques et 30 de criticité importante. L’exploitation des vulnérabilités critiques pourrait entraîner une élévation de privilèges ainsi qu’une exécution de code à distance.

Détails techniques :

Parmi les vulnérabilités corrigées, on retrouve :

  • Des vulnérabilités critiques permettant d'exécuter du code de manière arbitraire avec des droits privilégiés suite à l'ouverture d'un fichier PNG spécialement conçu pour déclencher une corruption de la mémoire. Ces dernières sont référencées par les CVE-2019-1986, CVE-2019-1987 et CVE-2019-1988.
  • Des vulnérabilités critiques permettant d'exécuter du code de manière arbitraire avec des droits privilégiés suite à l'exploitation de vulnérabilités de type dépassement de tampon sur des librairies et des composants utilisés au sein des composants système d'Android ainsi que dans le kernel. Il est ainsi possible de déclencher une exploitation des vulnérabilités en créant des fichiers spécifiques ou en envoyant des paquets réseau spécialement conçus. Ces vulnérabilités sont référencées par les CVE-2017-17760, CVE-2018-5268, CVE-2018-5269, CVE-2017-18009, CVE-2019-1991, CVE-2019-1992, CVE-2019-1993, CVE-2019-1994, CVE-2019-1995, CVE-2019-1996, CVE-2019-1997, CVE-2019-1998, CVE-2018-10879, CVE-2019-1999, CVE-2019-2000 et CVE-2019-2001.
  • Des vulnérabilités de criticité importante relatives au composant Nvidia permettant d'exécuter du code de manière arbitraire avec des droits privilégiés suite à l'ouverture d'un fichier spécialement conçu. Cela permettrait à un attaquant de pouvoir élever ses privilèges ou d'exécuter des commandes avec des droits privilégiés. Ces vulnérabilités sont référencées par les CVE-2018-6271, CVE-2018-6267, CVE-2018-6268 et CVE-2016-6684.
  • Des vulnérabilités de criticité importante relatives au composant Qualcomm permettant d'exécuter du code de manière arbitraire avec des droits privilégiés. Le constructeur a indiqué qu'un attaquant local pourrait exploiter ces failles relatives à une mauvaise validation des entrées pour exécuter du code via un dépassement de tampon ou pour contourner la logique applicative légitime de l'application afin d'accéder à des informations normalement contenues dans des zones mémoires sécurisées. Les vulnérabilités sont décrites dans le bulletin de sécurité publié par Qualcomm.

Les vulnérabilités ont été communiquées aux partenaires d’Android au moins un mois avant la publication du bulletin de février. Les utilisateurs du système Android sont donc invités à se renseigner auprès du fabricant de leur appareil afin d'obtenir les dernières mises à jour disponibles.

Informations
+

Risques

  • Exécution de code arbitraire ;
  • Déni de service ;
  • Atteinte à la confidentialité des données ;
  • Elevation de privilèges.

Criticité

  • Score CVSS v3 : 8.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'a été diffusé pour les vulnérabilités listées

Composants & versions vulnérables

  • Android, toutes versions n'incluant pas le correctif de sécurité du 5 février 2019.

CVE

  • CVE-2019-1986
  • CVE-2019-1987
  • CVE-2019-1988
  • CVE-2017-17760
  • CVE-2018-5268
  • CVE-2018-5269
  • CVE-2017-18009
  • CVE-2019-1991
  • CVE-2019-1992
  • CVE-2019-1993
  • CVE-2019-1994
  • CVE-2019-1995
  • CVE-2019-1996
  • CVE-2019-1997
  • CVE-2019-1998
  • CVE-2018-10879
  • CVE-2019-1999
  • CVE-2019-2000
  • CVE-2019-2001
  • CVE-2018-6271
  • CVE-2018-6267
  • CVE-2018-6268
  • CVE-2016-6684
  • CVE-2018-11262
  • CVE-2018-11280
  • CVE-2018-11275
  • CVE-2018-13900
  • CVE-2018-13905
  • CVE-2018-11289
  • CVE-2018-11820
  • CVE-2018-11938
  • CVE-2018-11945
  • CVE-2018-11268
  • CVE-2018-11845
  • CVE-2018-11864
  • CVE-2018-11921
  • CVE-2018-11931
  • CVE-2018-11932
  • CVE-2018-11935
  • CVE-2018-11948
  • CVE-2018-5839
  • CVE-2018-13904

Recommandations
+

Mise en place de correctif de sécurité

  • La mise à jour d'Android contenant l'application du correctif de sécurité du 5 février permet de corriger l'ensemble des vulnérabilités.

Solution de contournement

  • Aucune solution de contournement n'a été diffusée.