Android: 5 vulnérabilités critiques ont été patchées

Google a corrigé cinq vulnérabilités critiques dans son système d’exploitation Android dans le cadre de son bulletin de sécurité de Février. Deux des failles étaient des vulnérabilités d’exécution de code à distance trouvées dans le framework et le système multimédia d’Android.

Trois autres failles critiques de Qualcomm ont été signalés par Google et corrigés par Qualcomm – dans le cadre d’une divulgation distincte du bulletin de sécurité. L’une de ces failles (CVE-2020-11163) a un score CVSS (Common Vulnerability Scoring System) de 9,8 sur 10. La faille est liée à la puce de réseau local sans fil (WLAN) utilisée pour les communications Wi-Fi.

En tout, Google a corrigé 22 vulnérabilités dans le système d’exploitation Android, dont 15 comprenaient des vulnérabilités d’élévation de privilège. 22 autres failles de sécurité ont été corrigées par Qualcomm et ont eu un impact sur une gamme de fonctions de l’appareil telles que le Wi-Fi, la caméra et les écrans de l’appareil.

Cadence de patch et divulgation

Les mises à jour en direct du système d’exploitation Android et du micrologiciel du chipset seront transmises aux appareils au cours des jours et semaines suivants. La famille d’appareils Pixel de Google reçoit généralement les mises à jour en premier, suivis des smartphones des autres fabricants d’appareils. Les détails techniques des vulnérabilités corrigées ne sont souvent pas publiés tant que la majorité des smartphones concernés n’ont pas été corrigés.

android

La plus grave des failles critiques dans le système d’exploitation Android est une vulnérabilité de sécurité dans le composant Media Framework qui permet l’exécution de code à distance, permettant à un attaquant distant utilisant un fichier spécialement conçu d’exécuter du code arbitraire dans le contexte d’un processus privilégié , selon Google. La faille est identifiée comme CVE-2021-0325 et a reçu une note «critique» sur Android 8.1 et 9, mais une note «élevée» sur Android 10, 11 et 12, a déclaré la société.

«L’évaluation de la gravité est basée sur l’effet que l’exploitation de la vulnérabilité aurait éventuellement sur un appareil affecté, en supposant que les atténuations de plate-forme et de service sont désactivées à des fins de développement ou si elles sont contournées avec succès», selon le bulletin de sécurité.

Le correctif lui-même sera livré en deux parties, la première corrigeant 20 vulnérabilités dans le système d’exploitation Android et la seconde qui corrige 23 failles trouvées dans le noyau Android et divers composants de Qualcomm, selon Google.

Plus de failles d’exécution de code à distance sur Android

La mise à jour comprend également des correctifs pour deux failles supplémentaires dans Media Framework, l’une identifiée comme CVE-2021-0332 qui permet l’élévation des privilèges sur Android 10 et 11.

Une autre faille critique d’exécution de code à distance, CVE-2021-0326, a été trouvé dans le composant système et pourrait permettre à un attaquant distant d’utiliser «une transmission spécialement conçue pour exécuter du code arbitraire dans le contexte d’un processus privilégié», selon Google. Il a été mis à jour pour les versions 8.1, 9, 10 et 11 du système d’exploitation.

android

Cinq autres vulnérabilités corrigées dans la mise à jour du système Android incluent toutes la capacité d’élévation de privilèges et ont été mises à jour pour toutes les versions du système d’exploitation à partir de la version 8.1, a déclaré la société.

La mise à jour corrige également 10 vulnérabilités trouvées dans Android Framework, dont neuf incluent la capacité d’exécution de code à distance et affectent diverses versions du système d’exploitation. Toutes les vulnérabilités du framework ont reçu une note «élevée», selon l’avis.

Les failles de Qualcomm ont aussi été patchées

Les trois autres failles de la mise à jour avec des notes «critiques» affectent les composants Qualcomm sous Android. La vulnérabilité la plus grave, en se basant sur les informations publiques, est identifiée comme CVE-2020-11272 (score CVSS 9,8) et affecte le composant WLAN.

Qualcomm décrit la faille comme une faille de «validation incorrecte de l’index de tableau dans le modem de données». Il offrait des détails supplémentaires limités, notamment le fait que la faille peut être abusé par un attaquant s’il déclenche un «débordement de tampon lors de la mise à jour des paramètres ikev2». Internet Key Exchange (IKEv2) est le protocole utilisé pour mettre en place une association de sécurité dans la suite de protocoles IPsec, selon une description technique.

Les deux autres – CVE-2020-11163 et CVE-2020-11170 – affectaient les composants de source fermée Qualcomm trouvés dans le système d’exploitation.

Le noyau Android, le système Google Play et l’environnement d’exécution Android ont tous reçu un correctif chacun dans la mise à jour pour les failles classées respectivement comme «élevées».

Le mois dernier, Google a également corrigé 43 vulnérabilités dans Android, y compris deux failles critiques – dont l’une a été trouvée dans Android System et a permis à des attaquants distants d’exécuter du code arbitraire.

À l’heure actuelle, rien ne prouve que l’une des vulnérabilités corrigées dans la mise à jour de Février soit activement exploitée dans la nature, selon un article du Center for Internet Security (CIS).

Le CIS a recommandé aux utilisateurs d’Android d’appliquer les mises à jour fournies par Google ou par le fabricant de leur smartphone «immédiatement après des tests appropriés». Le CIS a également rappelé aux utilisateurs de ne télécharger que les applications de confiance dans le Google Play Store et d’éviter de visiter des sites Web non approuvés ou de suivre des liens fournis par des sources inconnues ou non fiables.

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires