De multiples vulnérabilités concernant Android ont été corrigées par les deux patchs de sécurité déployés par Google le 1er et 5 octobre 2017.
Les patchs corrigent les vulnérabilités suivantes :
- Elévation de privilèges (CVE-2017-0806, CVE-2017-0812, CVE-2017-7374, CVE-2017-9075, CVE-2017-0827, CVE-2017-9714, CVE-2017-9683)
- Exécution de code à distance (CVE-2017-0809, CVE-2017-0810, CVE-2017-0811, CVE-2017-14496, CVE-2017-11053)
- Atteinte à la confidentialité des données (CVE-2017-0815, CVE-2017-0816)
Impact
- Exécution de code à distance
- Atteinte à la confidentialité des données
- Élévation de privilèges
Criticité
Importante
Existence d’un code d’exploitation de la vulnérabilité
Non, aucun code permettant l’exploitation de cette vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
Google indique que toutes les versions n'intégrant pas les correctifs de sécurité du 1 et 5 octobre 2017 sont vulnérables.
CVE
- CVE-2017-0806
- CVE-2017-0809
- CVE-2017-0810
- CVE-2017-0811
- CVE-2017-0812
- CVE-2017-0815
- CVE-2017-0816
- CVE-2017-0827
- CVE-2017-7374
- CVE-2017-9075
- CVE-2017-9683
- CVE-2017-9714
- CVE-2017-11053
- CVE-2017-14496
Correctifs
Il est recommandé d’appliquer les deux correctifs mis à disposition par Google ainsi que les corrections supplémentaires éventuellement proposées par les différents fabricants Android (Samsung, LGE, Pixel/Nexus, etc.).
Solution de contournement
Il n’existe pas actuellement de solution de contournement pour les différentes vulnérabilités.