Bulletin de sécurité de janvier pour Android publié par Google

Google a publié son bulletin de sécurité mensuel pour Android. 27 vulnérabilités corrigées sur le système d’exploitation mobile y sont référencées pour toutes les versions (les versions antérieures à la 7 ne sont plus maintenues). 

Parmi les vulnérabilités corrigées, 2 sont critiques et 25 de criticité haute. L’exploitation des vulnérabilités critiques pourrait entraîner une élévation des privilèges ainsi qu’une exécution de code à distance ou encore une atteinte à la confidentialité des données. Le bulletin Android se découpe en deux parties: la première porte sur les vulnérabilités corrigées par l'équipe de développement d'Android, tandis que la seconde adresse les vulnérabilités portant sur des composants maintenus par des prestataires externes (Qualcomm, Upstream kernel et Nvidia).

Détails techniques :

Dans ce bulletin, une des vulnérabilités critiques concernent directement Android, la seconde porte sur un composant Qualcomm.

  1. La première vulnérabilité identifiée CVE-2018-9583 critique porte sur le système et permettrait à un attaquant distant d'exécuter du code arbitraire à l'aide d'un fichier spécialement conçu sur un appareil si ce dernier dispose d'un contexte de privilèges élevés.
  2. La seconde vulnérabilité critique concerne un composant Qualcomm, fournisseur de puces utilisées sur la plupart des smartphones Android. Le constructeur a évalué la criticité de la vulnérabilité identifiée CVE-201811847 comme critique en indiquant qu'un attaquant local pourrait utiliser cette faille relative à une mauvaise validation des entrées.

Aucune information n'est fournie sur le type de faille dans le bulletin Android hormis sa criticité. Le constructeur Qualcomm a publié son bulletin de sécurité le même jour.

Les vulnérabilités ont été communiquées aux partenaires d’Android au moins un mois avant la publication du bulletin de janvier. Les utilisateurs du système Android sont donc invités à se renseigner auprès du fabricant de leur appareil afin d'obtenir les mises à jour sont disponibles.

Informations
+

Risques

  • Elevation de privilège
  • Exécution de code arbitraire

Criticité

  • Score CVSS : en cours d'évaluation

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation pour ces vulnérabilités corrigées n'est publiquement disponible pour le moment.

Composants & versions vulnérables

  • Google informe qu'aucune vulnérabilité n'a été exploitée d'après les informations dont ils disposent.

CVE

  • CVE-2018-9583
  • CVE-2018-11847

Recommandations
+

Mise en place de correctif de sécurité

  • Google indique que les correctifs de sécurité en date du 5 janvier 2019 ou d'une version ultérieure corrigent ces vulnérabilités.

Solution de contournement

  • Aucune solution de contournement n'a été diffusée.