Google publie son bulletin de sécurité de mars pour Android

Google a publié son bulletin de sécurité du mois de mars pour Android. Ce bulletin référence les 45 vulnérabilités qui ont été corrigées sur le système d’exploitation pour les versions 7, 8 et 9. Les versions antérieures à la 7 ne sont en effet plus maintenues. Par ailleurs, les vulnérabilités ont été communiquées aux partenaires d’Android au moins un mois avant la publication de ce bulletin.

Parmi ces vulnérabilités, 11 sont considérées comme critiques, 33 comme importantes et une seule comme modérée :

 • 3 des 11 vulnérabilités critiques permettraient d’exécuter du code à distance

 • Les 33 vulnérabilités importantes, 19 permettraient une élévation de privilèges et 8 la divulgation d’informations.

Détails techniques :

CVE-2019-1990 : La vulnérabilité la plus impactante affecte le cadriciel Media d'Android. Ce dernier fait le lien entre les applications et les récepteurs de l'audio et de l'image. Elle permettrait à un attaquant d’utiliser un fichier spécialement conçu pour exécuter du code arbitraire dans le contexte d’un processus privilégié. L’impact de cette vulnérabilité est accentué si le dispositif n’active pas les protections pour des raisons de développement, par exemple.

Ces vulnérabilités seraient apparues suite aux améliorations apportées au système. Cependant, aucune remontée quant à l’exploitation d’une de ces vulnérabilités dans la nature n’a été observée.

Des correctifs ont été publiés par Google et sont disponibles au téléchargement depuis le 4 mars. Du fait de leur criticité, les utilisateurs sont invités à appliquer ces mises à jour le plus rapidement possible.

Informations
+

Risques

  • Exécution de code arbitraire.

Criticité

  • Score CVSS : En cours d'évaluation

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'a été diffusé

Composants & versions vulnérables

  • La liste des versions impactées est détaillée par vulnérabilité.

CVE

  • La liste des CVE concernées est détaillée dans le bulletin

Recommandations
+

Mise en place de correctif de sécurité

  • Ces vulnérabilités sont corrigées dans les versions correspondantes indiquées.

Solution de contournement

  • Aucune solution de contournement n'est proposée.