Android: 2 failles critiques patchées en Février par Google

Google a distribué une mise à jour de sécurité pour une faille critique dans le système d’exploitation Android qui permet aux pirates informatiques d’exécuter du code à distance sur les appareils mobiles affectés. Cela pourrait donc aussi permettre d’obtenir un accès à distance à l’appareil.

Pour son Bulletin de Sécurité d’Android du mois de Février, Google a aussi signalé une seconde faille critique qui permettrait à un pirate informatique distant d’obtenir un accès à un appareil Android et de récupérer des données sensibles.

Identifiée comme CVE-2020-0022, la faille d’exécution de code à distance affecte Android Pie (9.0) et Oreo (8.0, 8.1). La même vulnérabilité affecte aussi Android 10, la plus récente version d’Android. Cependant, avec Android 10, la gravité est modéré et l’impact n’est pas un bug d’exécution de code à distance mais plutôt une menace de déni de service.

Google a déclaré qu’une mise à jour et des images de firmware pour les appareils Google étaient disponibles pour ses appareils Nexus et Pixel. Les autres fabricants d’appareils Android déploieront des mises à jour pour leurs produits.

android sdk

En ce qui concerne le bug d’exécution de code à distance, Google a déclaré qu’un pirate informatique pourrait exploiter la faille en envoyant “une transmission spécialement conçue pour exécuter du code arbitraire dans le contexte d’un processus privilégié.” Les processus privilégiés incluent les fonctions de l’appareil ou d’une application de parti-tiers.

“En fonction des privilèges associés à l’application, un hacker mal-intentionné pourrait installer des programmes; voir, modifier, ou supprimer des données; ou créer de nouveaux comptes avec tout les droits,” selon le signalement du Center for Internet Security (CIS), un organisme à but non-lucratif axé sur la sécurité et qui travaille avec des institutions privées, publiques et universitaires. “Si cette application a été configuré pour avoir mois de permissions sur le système, l’exploitation de la vulnérabilité la plus critique pourrait avoir un impact moins important que si elle était configuré avec des droits administratifs.”

Les vecteurs d’attaque pourrait inclure un pirate informatique attirant une victime vers un site web hébergeant un fichier malveillant, ou en envoyant un par e-mail ou par message MMS.

La CIS a affirmé qu’il n’y avait aucune indication que ces 2 vulnérabilités étaient activement exploités par des individus mal intentionnés.

La seconde faille patchée par Google est une vulnérabilité de divulgation d’information. Identifié comme CVE-2020-0023, ce bug pourrait donner la possibilité d’accéder à des informations sensibles et confidentielles associées à des applications spécifiques.

Détails sur ces failles de sécurité d’Android

Les détails de ces vulnérabilités critiques ne sont pas encore disponibles. Habituellement, les détails de faille de sécurité sont partagés quand le nombre d’appareils patchés a atteint un niveau acceptable. Au total, Google a patché 25 bugs dans son système d’exploitation Android lors de cette mise à jour de sécurité du mois de Février. Parmi ces vulnérabilités, 19 sont jugées comme étant importantes. 4 autres vulnérabilités sont aussi importantes mais sont liées aux puces Qualcomm utilisées à l’intérieur des appareils Android.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de