Google a patché une faille du Media Framework d’Android

Google a patché une vulnérabilité critique dans le Media Framework de son système d’exploitation Android, qui, si elle est exploitée, pourrait conduire à des attaques d’exécution de code à distance sur des appareils vulnérables.

Dans l’ensemble, Google a corrigé des failles liées à 53 CVE dans le cadre de ses mises à jour de sécurité de Septembre pour le système d’exploitation Android. Qualcomm, dont les puces sont utilisées dans les appareils Android, a corrigé un mélange de vulnérabilités de gravité élevée et critique liées à 22 CVE.

«Le plus grave de ces problèmes est une vulnérabilité de sécurité critique dans le composant Media Framework qui pourrait permettre à un attaquant distant utilisant un fichier spécialement conçu d’exécuter du code arbitraire dans le contexte d’un processus privilégié», selon la mise à jour de sécurité d’Android.

google play

Android Media Framework inclut la prise en charge de la lecture d’une variété de types de médias courants, afin que les utilisateurs puissent facilement utiliser l’audio, la vidéo et les images. La faille (CVE-2020-0245) permet une exécution de code à distance dans les versions Android 8.0, 8.1 et 9 mais cette gravité est réduite à «élevée» et l’impact est plutôt la divulgation d’informations pour la version 10 d’Android.

Au-delà de ce problème de gravité critique, Android Media Framework contient également cinq autres failles de divulgation d’informations de haute gravité (CVE-2020-0381, CVE-2020-0383, CVE-2020-0384, CVE-2020-0385, CVE-2020- 0393) et un problème d’élévation de privilège (CVE-2020-0392).

Deux autres vulnérabilités critiques ont été corrigées dans la zone Android System. Celles-ci contenaient une faille d’exécution de code à distance (CVE-2020-0380) et une faille de divulgation d’informations (CVE-2020-0396) qui affectent toutes deux les versions Android 8.0, 8.1, 9 et 10.

Ces failles pourraient permettre “à un attaquant distant utilisant une transmission spécialement conçue d’exécuter du code arbitraire dans le cadre d’un processus privilégié”, selon Google. Le système comprend également deux erreurs d’élévation de privilèges de haute gravité (CVE-2020-0386, CVE-2020-0394) et une divulgation d’informations (CVE-2020-0379).

Dix vulnérabilités de haute gravité existent également dans le Framework Android, qui est un ensemble d’API composé d’outils système et d’outils de conception d’interface utilisateur qui permettent aux développeurs d’écrire rapidement et facilement des applications pour les smartphones Android. Il s’agit notamment de quatre failles d’élévation des privilèges (CVE-2020-0074, CVE-2020-0388, CVE-2020-0391, CVE-2020-0401) et six erreurs de divulgation d’informations (CVE-2020-0382, CVE-2020-0389, CVE-2020-0390, CVE-2020-0395, CVE-2020-0397, CVE-2020-0399).

Des patchs de Google pour les vulnérabilités de composants

Google a également déployé des correctifs pour les failles de divers composants tiers de son écosystème Android. Celles-ci incluent quatre failles de gravité élevée affectant les composants MediaTek (MediaTek et Google collaborent sur la plate-forme Ultra HD TV d’Android TV), y compris des problèmes affectant le pilote audio d’Android TV.

Trois failles de haute gravité dans le noyau Android, quant à elles, incluent une faille d’élévation des privilèges dans le sous-système de stockage (CVE-2020-0402) et une dans le pilote USB (CVE-2020-0404), ainsi qu’une faille de divulgation d’informations (CVE-2020-0407). Enfin, 22 failles de gravité élevée et critique ont été corrigées dans les composants Qualcomm, dont cinq dans le noyau. Les autres failles de Qualcomm concernaient des composants propriétaires.

google android

Les fabricants d’appareils Android déployent généralement leurs propres correctifs pour traiter les mises à jour en tandem ou après le bulletin de sécurité mensuel. Samsung a déclaré dans un communiqué de sécurité de Septembre qu’il publiait plusieurs correctifs du bulletin de sécurité Android sur les principaux modèles de Samsung. Et, selon un bulletin, une mise à jour de sécurité pour les appareils Pixel, qui utilisent le système d’exploitation Android de Google, «arrivera bientôt».

En Août, Google a distribué des correctifs pour résoudre un problème de haute gravité dans son composant Framework, qui, s’il était exploité, pourrait permettre l’exécution de code à distance (RCE) sur les appareils mobiles Android. Au total, 54 failles de haute gravité ont été corrigées dans le cadre des mises à jour de sécurité de Google du mois d’août.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x