png

Android: Une Simple Image PNG Pourrait Pirater votre Smartphone

Faites attention si vous utilisez un appareil Android. Le simple fait d’ouvrir une image PNG peut vous causer des problèmes. Trois nouvelles vulnérabilité critiques ont été découvertes et elles affectent les smartphones Android utilisant les OS allant de Android 7.0 Nougat à Android 9.0 Pie.

Les vulnérabilités, identifiées comme CVE-2019-1986, CVE-2019-1987 et CVE-2019-1988, ont été patché dans le Android Open Source Project (AOSP) par Google dans le February Android Security Updates.

Cependant, comme tout les fabricants de smartphone Android ne font pas de mise à jour tout les mois, il est difficile de déterminer si votre appareil Android recevra cette mise à jour de sécurité.

Les ingénieurs de Google n’ont pas révélé de détails technique concernant les vulnérabilités, mais le log de mises à jours mentionne « une faille de débordement de mémoire tampon, » « des erreurs dans le SkPngCodec, » et des bugs dans quelques composants qui interprète les images PNG images.

L’une des trois vulnérabilités, que Google considère comme étant la plus dangereuse, pourrait permettre à un fichier d’image Portable Network Graphics (.PNG) d’exécuter du code sur les appareils Android vulnérables.

Le pirate pourrait pousser un usager à télécharger l’image malicieuse, ou tout simplement l’envoyer directement via une application de messagerie ou d’email. Il suffit juste que l’image soit ouverte par le destinataire et le tour est joué.

En incluant ces trois failles, Google a patché un total de 42 vulnérabilités dans système d’exploitation pour smartphone, 11 d’entre elles ont été évalué comme critique, 30 étaient de haute importance et seulement une vulnérabilité de moyenne importance.

Google a tenu à préciser que ces vulnérabilités ne semblent pas être activement exploité par des hackers pour le moment.

Google a déclaré qu’ils ont notifié tout leurs partenaires Android un mois avant la publication, en ajoutant que « le code source des patches de ces vulnérabilités sera partagé dans le dépôt du Android Open Source Project (AOSP) dans les prochaines 48 heures. »

Laisser un commentaire