Google publie son bulletin de sécurité de Juillet pour Android

Les correctifs du mois de Juillet corrigent 33 vulnérabilités dont 9 qui sont considérées comme critiques, sur le système d’exploitation pour les versions 7, 8 et 9. Par ailleurs, les vulnérabilités ont été communiquées aux partenaires d’Android au moins un mois avant la publication de ce bulletin.

Aucune exploitation de ces vulnérabilités n’a été recensée par les experts sécurité Android.

Détails techniques :

Les vulnérabilités critiques concernent 4 catégories :

Media Framework

  • CVE-2019-2106, CVE-2019-2107, CVE-2019-2109 [Score CVSSv3 8.8] : Ces différentes vulnérabilités pourraient permettre à un attaquant distant d’exécuter du code arbitraire au sein d’un processus privilégié du système. Pour cela l’attaquant envoi un fichier malveillant spécialement conçu à la victime et convainc celle-ci de l’ouvrir.

System

  • CVE-2019-2111 [Score CVSSv3 9.8] : Cette vulnérabilité permet, de manière semblable aux précédentes, à un attaquant d’exécuter du code arbitraire sur le système.

Qualcomm components

  • CVE-2019-2308 [Score CVSSv3 7.8], CVE-2019-2330 [Score CVSSv3 5.5] : Ces vulnérabilités concernent respectivement l’élément DSP_Service et le Kernel.

Qualcomm closed-source components

Informations
+

Risques

  • Exécution de code arbitraire

Criticité

  • Score CVSS : 9.80 (score de la vlnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • La liste des versions impactées est détaillée par vulnérabilité sur le bulletin de sécurité Android.

CVE

  • CVE-2019-2106
  • CVE-2019-2107
  • CVE-2019-2109
  • CVE-2019-2111
  • CVE-2019-2308
  • CVE-2019-2330
  • CVE-2019-2254
  • CVE-2019-2322
  • CVE-2019-2327

La liste des autres CVE concernées est détaillée dans le bulletin de sécurité Android.
 


Recommandations
+

Mise en place de correctif de sécurité

  • Le correctif de juillet 2019 de Google corrige l'ensemble des vulnérabilités listées, et est scindé en deux patchs pour permettre plus de flexibilité aux Partenaires Android : 2019-07-01 et 2019-07-05.

Solution de contournement

  • Aucune solution de contournement n'est proposée.