Google corrige une trentaine de vulnérabilités pour son système d'exploitation Android

Les correctifs Android du mois de mai 2019 corrigent 5 vulnérabilités critiques du système d'exploitation de Google, dont 4 failles d'exécution de code arbitraires à distance.

    Détails techniques :

    Les vulnérabilités affectant directement le système d'exploitation sont réparties en 4 catégories:

    1. Framework

    • CVE-2019-2043 [CVSS V3 7.3] : une vulnérabilité permettant à un programme malveillant de passer outre l'interaction utilisateur et de s'attribuer des permissions plus élevées.

    2. Media framework

    • CVE-2019-2044 [CVSS V3 8.8] : selon l'avis publié par Google, le bogue le plus grave affecte le cadre Media. Un attaquant pourrait exploiter la faille en utilisant un fichier spécialement conçu pour exécuter du code arbitraire dans le contexte d'un processus privilégié. La vulnérabilité affecte Android 7.0, 7.1.1, 7.1.1, 7.1.2, 8.0, 8.1, 8.1, et 9.

    3. System

    • CVE-2019-2045, CVE-2019-2046 et CVE-2019-2047 [CVSS V3 9.8] : Google a également travaillé à corriger trois vulnérabilités critiques d'exécution de code arbitraire à distance dans le composant System qui affectent Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1, et 9 ;
    • CVE-2019-2049, CVE-2019-2050 [CVSS V3 7.8]CVE-2019-2051, CVE-2019-2052 [CVSS V3 7.5], CVE-2019-2053 [CVSS V3 5.5] : les correctifs apportés par Google corrigent également 5 vulnérabilités importantes permettant elles aussi l'exécution de code arbitraire, les deux premières étant des vulnérabilités d'élévation de privilège, les trois suivantes des vulnérabilités permettant la diffusion d'information.

    4. Kernel

    • CVE-2019-2054 [CVSS V3 7.8] : Dans le cadre de l'implémentation de seccomp avant la version 4.8 du noyau, un contournement de seccomp est possible dû aux politiques de seccomp qui permettent l'utilisation de ptrace. Cela pourrait conduire à une escalade locale des privilèges sans qu'aucun privilège supplémentaire ne soit nécessaire. 
    Informations
    +

    Risques

    • Exécution de code arbitraire à distance ;
    • Elévation de privilèges.

    Criticité

    • Score CVSS : 9.8

    Existence d’un code d’exploitation de la vulnérabilité

    • Selon Google, ces vulnérabilités sont restées inexploitées pour les CVE listées.

    Composants & versions vulnérables

    • Les versions impactées pour chacune des vulnérabilités sont détaillés dans le bulletin publié par Google.

    CVE

    • CVE-2019-2043
    • CVE-2019-2044
    • CVE-2019-2045
    • CVE-2019-2046
    • CVE-2019-2047
    • CVE-2019-2048
    • CVE-2019-2049
    • CVE-2019-2050
    • CVE-2019-2051
    • CVE-2019-2052
    • CVE-2019-2053
    • CVE-2019-2054

    Recommandations
    +

    Mise en place de correctif de sécurité

    • Le correctif de mai 2019 de Google corrige l'ensemble des vulnérabilités listées.

    Solution de contournement

      • Aucune solution de contournement n'a été publiée.