Google publie son bulletin de sécurité de septembre pour Android

Google a publié son bulletin de sécurité du mois de septembre qui corrige de nombreuses vulnérabilités dans Android. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et une atteinte à la confidentialité des données.

Parmi ces vulnérabilités, 4 sont considérées comme critiques et 45 comme importantes.

Détails techniques :

Les vulnérabilités critiques concernent 2 catégories :

Media Framework:

Ce cadriciel (Framework) permet la prise en charge de divers types de médias courants, afin que les utilisateurs puissent facilement utiliser l'audio, la vidéo et les images dans Android.

  • CVE-2019-2108 et CVE-2019-2176 : Ces deux vulnérabilités pourraient permettre à un attaquant distant ayant fait télécharger à sa victime un fichier spécialement conçu d'exécuter du code arbitraire dans le cadre d'un processus privilégié.

Qualcomm closed-source components :

  • CVE-2019-2258 et CVE-2019-10533 : Les effets des vulnérabilités concernées ne sont pas publics à la date de publication de ce bulletin.
Informations
+

Risques

  • Exécution de code arbitraire à distance
  • Atteinte à la confidentialité des données
  • Élévation de privilèges
  • Non spécifié par l'éditeur

Criticité

  • Score CVSS : En cours de calcul

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • La liste des versions impactées est détaillée par vulnérabilité sur le bulletin de sécurité Android

CVE

  • CVE-2019-2123
  • CVE-2019-2174
  • CVE-2019-2175
  • CVE-2019-9254
  • CVE-2019-2103
  • CVE-2019-2176
  • CVE-2019-2108
  • CVE-2019-2177
  • CVE-2019-2115
  • CVE-2019-2178
  • CVE-2019-2179
  • CVE-2019-2180
  • CVE-2019-2124
  • CVE-2018-20669
  • CVE-2019-2181
  • CVE-2018-6240
  • CVE-2017-5715
  • CVE-2017-17768
  • CVE-2019-2283
  • CVE-2019-2316
  • CVE-2019-10491
  • CVE-2019-10505
  • CVE-2019-2323
  • CVE-2019-2324
  • CVE-2019-2325
  • CVE-2019-2331
  • CVE-2019-2332
  • CVE-2019-10512
  • CVE-2019-10515
  • CVE-2019-10524
  • CVE-2019-10529
  • CVE-2019-10531
  • CVE-2018-11891
  • CVE-2019-2258
  • CVE-2019-10533
  • CVE-2019-2275
  • CVE-2019-2246
  • CVE-2019-10488
  • CVE-2019-10495
  • CVE-2019-10496
  • CVE-2019-2249
  • CVE-2019-2285
  • CVE-2019-10504
  • CVE-2019-10522
  • CVE-2019-10534
  • CVE-2019-10541

Recommandations
+

Mise en place de correctif de sécurité

  • Le correctif de septembre 2019 de Google corrige l'ensemble des vulnérabilités listées, et est scindé en deux patchs pour permettre plus de flexibilité aux Partenaires Android : 2019-09-01 et 2019-09-05.

Solution de contournement

  • Aucune solution n'a été proposée.