Google et Qualcomm ont patché des vulnérabilités critiques

Google a corrigé deux failles critiques dans sa dernière mise à jour mensuelle d’Android. Ces vulnérabilités permettent l’exécution de code à distance (RCE) sur les appareils mobiles Android.

Les failles critiques (CVE-2020-0117 et CVE-2020-8597) existent dans la zone du système Android et permettraient à un attaquant distant utilisant une transmission spécial d’exécuter du code arbitraire dans le contexte d’un processus privilégié. Ces vulnérabilités affectent les versions 8 à 10 d’Android.

«Une exploitation réussie de la plus grave de ces vulnérabilités pourrait permettre l’exécution de code à distance dans le contexte d’un processus privilégié», selon un rapport connexe du Centre d’analyse et de partage d’informations multi-états (MS-ISAC). «Ces vulnérabilités pourraient être exploitées par le biais de plusieurs méthodes telles que la messagerie électronique, la navigation Web et les MMS lors du traitement des fichiers multimédias.»

Selon les privilèges associés à l’application, un pirate pourrait alors installer des programmes; afficher, modifier ou supprimer des données; ou créez de nouveaux comptes avec tout les droits d’utilisateur.

google

Les autres failles affectant le système sont 2 problèmes de divulgation d’informations très graves affectant Android 10 (CVE-2020-0116 et CVE-2020-0119) et Google n’a fourni aucun détail technique à leur sujet.

Les mises à jour de sécurité du mois de Juin traitent également des failles de gravité élevée dans d’autres endroits, incluant le framework Android. Il s’agit notamment d’une faille d’élévation de privilèges (EoP) (CVE-2020-0114) dans Android 10 qui «pourrait permettre à une application malveillante locale de contourner les exigences d’interaction des utilisateurs afin d’accéder à des autorisations supplémentaires», selon le bulletin de sécurité.

Pendant ce temps, Google a également corrigé CVE-2020-0115, une faille d’élévation de privilèges dans les versions 8 à 10 d’Android et CVE-2020-0121, une faille de divulgation d’informations dans Android 10.

Il existe également deux correctifs pour Android Media Framework, y compris CVE-2020-0118, qui pourraient permettre à une application malveillante locale de contourner les exigences d’interaction de l’utilisateur afin d’accéder à des autorisations supplémentaires; il affecte Android 10. L’autre est un bogue de divulgation d’informations (CVE-2020-0113) affectant Android 9 et 10.

Et enfin, il existe trois failles de sécurité de haute gravité dans les composants du noyau Android. La plus sévère d’entre elles (CVE-2020-8647) pourrait permettre à un attaquant local utilisant une application spécial d’exécuter du code arbitraire dans le contexte d’un processus privilégié. Les deux autres (CVE-2020-8648 et CVE-2020-8428) sont également répertoriés comme hautement graves.

Google a également mis à jour les avis pour deux failles plus anciennes: CVE-2019-2219, affectant le Framework d’Android 8 à Android 10, pourrait permettre à une application malveillante locale de contourner les protections du système d’exploitation qui isolent les données des autres applications; et une vulnérabilité d’élévation de privilèges dans le système (CVE-2019-9460) pourrait permettre à un attaquant distant de contourner les exigences d’interaction de l’utilisateur afin d’accéder à des autorisations supplémentaires.

Au final, c’est un bulletin mensuel assez léger. Les mises à jour Android du mois dernier avaient corrigé 39 vulnérabilités.

Des failles de composants Qualcomm affectaient les appareils de Google

Des patchs ont également été distribués cette semaine pour corriger les multiples vulnérabilités des composants Qualcomm utilisés dans les appareils Android.

Deux des failles sont critiques et peuvent être exploités à distance, elles se trouvent toutes les deux dans le modem de données des puces mobiles de Qualcomm.

La faille identifiée comme CVE-2019-14073 est causée par le fait que les tampons système copient sans vérifier la taille de l’entrée dans le modem de données, selon le rapport de Qualcomm.

qualcomm

“Copier des messages RTCP dans le tampon de sortie sans vérifier la taille du tampon de destination, ce qui pourrait entraîner un débordement de pile à distance lors du traitement de données volumineuses ou de messages de rétroaction non standard”, selon le fabricant.

De plus, CVE-2019-14080 est causée par une validation incorrecte de l’index de la matrice dans les données du modem, liée à la transmission de puissance dans le chipset:

«L’écriture hors limite peut se produire en raison du manque de vérification de la valeur d’index du tableau lors de l’analyse de l’attribut SDP [protocole de description de session] pour le [taux d’absorption spécifique] SAR», a déclaré Qualcomm.