3 failles critiques sur Android et déni de service permanent

Google a distribué une mise à jour pour se débarrasser de 3 vulnérabilités critiques dans le système d’exploitation Android. L’une de ces failles peut causer un “déni de service permanent” sur les systèmes affectés.

Les vulnérabilités ont été adressé dans le bulletin de sécurité de Décembre 2019 qui a été déployé pour réparer plus de 15 différentes vulnérabilités. Qualcomm, dont les puces sont utilisées par les appareils Android, a aussi patché 22 vulnérabilités.

“La faille la plus critique se trouve dans le composant framework et pourrait permettre à un pirate distant d’utiliser un message spécial pour provoquer un déni de service permanent,” selon le bulletin de sécurité de Google. “Cette faille DoS, CVE-2019-2232, a été adressé pour les appareils tournant sur les versions 8.0, 8.1, 9 et 10 du système d’exploitation Android,” a déclaré Google.

Les 2 autres failles critiques (CVE-2019-2222 et CVE-2019-2223) se trouvent dans la framework Media d’Android. Cette framework inclut un support pour visionner plusieurs types de média (audio, vidéo, images…). Les appareils tournant sur les versions 8.0, 8.1, 9 et 10 sont concernés par ces 2 bugs qui permettent à un pirate distant d’exécuter du code dans le contexte d’un processus privilégié.

Android

Trois autres vulnérabilités d’élévation de privilèges (CVE-2019-9464, CVE-2019-2217 et CVE-2019-2218) ainsi qu’un bug de divulgation d’information (CVE-2019-2220) dans la framework ont été réparé. 7 autres failles sévères (exécution de code à distance, élévation de privilèges et divulgation d’information) ont été découvert dans le système d’exploitation Android.

Pendant ce temps, 22 CVE (y compris 3 failles de dépassement de tampon) ont été patché. Ces vulnérabilités sont liées aux composants Qualcomm qui sont utilisés par les appareils Android. Ces failles critiques sont présentes sur plusieurs technologies Qualcomm, incluant le processeur d’appel (CVE-2019-10500), le Wideband Code Division Multiple Access (CVE-2019-10525) qui est une alternative à la technologie 2G/3G et le modem (CVE-2019-2242).

Google a inclus des patchs pour les composants de parti tiers dans son écosystème Android, par exemple un patch a été produit pour une vulnérabilité d’élévation de privilège (CVE-2018-20961) dans le USB MIDI, un pilote utilisé dans le noyau d’Android.

Ils sembleraient que ces vulnérabilités ne soient pas exploité activement.

Mise à jour d’appareils Android

Les fabricants d’appareils Android distribuent leurs propres patchs pour adresser les mises à jour en même temps ou après le Bulletin de Sécurité de Google.

Samsung a déclaré dans un communiqué qu’ils distribuaient plusieurs patchs du bulletin de sécurité , y compris ceux adressant les failles critiques, CVE-2019-2232, CVE-2019-2222 et CVE-2019-2223. Pendant ce temps-là, LG a aussi délivré des patchs liés à ce même bulletin de sécurité.

Une mise à jour de sécurité pour les appareils Pixel est prévue pour bientôt.

strandhogg android

Ces nouvelles mises à jours surviennent juste après que nous vous ayons informé récemment d’une nouvelle vulnérabilité Android nommée “StrandHogg” qui est activement exploitée par les pirates.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x