Bulletin de sécurité de janvier pour Android publié par Google
Date de publication :
Google a publié son bulletin de sécurité mensuel pour Android. 27 vulnérabilités corrigées sur le système d’exploitation mobile y sont référencées pour toutes les versions (les versions antérieures à la 7 ne sont plus maintenues).
Parmi les vulnérabilités corrigées, 2 sont critiques et 25 de criticité haute. L’exploitation des vulnérabilités critiques pourrait entraîner une élévation des privilèges ainsi qu’une exécution de code à distance ou encore une atteinte à la confidentialité des données. Le bulletin Android se découpe en deux parties: la première porte sur les vulnérabilités corrigées par l'équipe de développement d'Android, tandis que la seconde adresse les vulnérabilités portant sur des composants maintenus par des prestataires externes (Qualcomm, Upstream kernel et Nvidia).
Détails techniques :
Dans ce bulletin, une des vulnérabilités critiques concernent directement Android, la seconde porte sur un composant Qualcomm.
- CVE-2018-9583 [CVSS v3 9.8] : La première vulnérabilité identifiée critique porte sur le système et permettrait à un attaquant distant d'exécuter du code arbitraire à l'aide d'un fichier spécialement conçu sur un appareil si ce dernier dispose d'un contexte de privilèges élevés.
- CVE-2018-11847 [CVSS v3 7.8] : La seconde vulnérabilité critique concerne un composant Qualcomm, fournisseur de puces utilisées sur la plupart des smartphones Android. Le constructeur a évalué la criticité de la vulnérabilité en indiquant qu'un attaquant local pourrait utiliser cette faille relative à une mauvaise validation des entrées.
Aucune information n'est fournie sur le type de faille dans le bulletin Android hormis sa criticité. Le constructeur Qualcomm a publié son bulletin de sécurité le même jour.
Les vulnérabilités ont été communiquées aux partenaires d’Android au moins un mois avant la publication du bulletin de janvier. Les utilisateurs du système Android sont donc invités à se renseigner auprès du fabricant de leur appareil afin d'obtenir les mises à jour sont disponibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elevation de privilège
- Exécution de code arbitraire
Criticité
- Score CVSS : 9.80
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d'exploitation pour ces vulnérabilités corrigées n'est publiquement disponible pour le moment.
Composants & versions vulnérables
- Google informe qu'aucune vulnérabilité n'a été exploitée d'après les informations dont ils disposent.
CVE
- CVE-2018-9583
- CVE-2018-11847
Solutions ou recommandations
Mise en place de correctif de sécurité
- Google indique que les correctifs de sécurité en date du 5 janvier 2019 ou d'une version ultérieure corrigent ces vulnérabilités.
Solution de contournement
- Aucune solution de contournement n'a été diffusée.