Comme c’est le cas pour la plupart des nouvelles publications de correctifs, les détails d’une des vulnérabilités les plus critiques, à savoir CVE-2020-0022, n’ont pas encore été divulgués publiquement. Cependant, Google nous informe dans son avis de sécurité du mois de février 2020 que cette dernière se trouve dans le composant système Android, qui contient les applications système fournies avec le système d’exploitation.
Il s’agit d’un bug d’exécution de code à distance dans le contexte d’un processus privilégié, donnant à l’attaquant un haut niveau d’accès au système d’exploitation, et il concerne les versions 8.0, 8.1 et 9 du projet Open-Source Android (AOSP), sur lequel sont basées les différentes implémentations téléphoniques Android. Il semble également qu’il existe une autre vulnérabilité, moins sérieuse, associée à ce bug, qui rend un téléphone vulnérable à une attaque par déni de service (DoS).
L’autre bug classé “critique” est CVE-2020-0023, il s’agit d’une vulnérabilité de divulgation de données et concerne la version 10 de l’AOSP.
Au total, nous avons 25 bugs Android. A part six d’entre eux, qui se situent dans le composant système d’Android, sept sont quant à eux dans le Framework Android, qui contient les API Java pour le système d’exploitation. Tous les bugs Android au niveau du Framework sont classés “élevés“, certains concernant même la version 8.0 de l’AOSP. Le pire d’entre eux pourrait permettre à une application malveillante d’obtenir des privilèges supplémentaires en contournant les exigences d’interaction en matière d’utilisation, selon les développeurs.
Il n’y avait que deux bugs Android au niveau du noyau, tous deux classés “élevés” et entraînant une élévation de privilèges. Un attaquant utilisant l’un de ces bugs aurait pu exécuter du code arbitraire dans le cadre d’un processus privilégié, selon l’avis de sécurité.
Enfin, deux séries de bugs liés aux composants Qualcomm ont été découvertes. La première série impliquait des composants open-source. A ce niveau, six bugs classés “élevés” étaient concernés, visant l’appareil photo, le noyau, le sous-système audio et les traitements graphiques. La deuxième série concernait des composants Qualcomm de type closed-source. Les quatre bugs Android en question ont été classés “élevés“, et Qualcomm leur a d’ailleurs dédié un avis de sécurité séparé.
Le bulletin de sécurité Android contient deux niveaux de correctifs. Les groupes Framework et système relèvent du niveau de correctif 2020-02-01, tandis que les correctifs du noyau et de Qualcomm sont regroupés sous 2020-02-05. Google a procédé ainsi pour que les OEM puissent corriger plus rapidement un sous-ensemble de vulnérabilités similaires sur tous les appareils Android, selon l’avis de sécurité, lequel recommande d’ailleurs fortement aux fournisseurs d’équipements de corriger le lot dans son ensemble.
Quoi faire ?
Quand les utilisateurs Android pourront-ils obtenir ces correctifs ?
Les utilisateurs de téléphones Pixel de Google sont susceptibles de les obtenir en premier. L’entreprise a déjà publié des images d’usine (Factory images) et des mises à jour OTA (Over The Air) pour les téléphones, remontant jusqu’à Pixel 2 (ce dernier étant inclus), dont le support prendra fin en octobre prochain. Les utilisateurs des produits Android d’autres fournisseurs devront attendre que ces derniers déploient les correctifs au niveau de leurs propres implémentations Android.
Dernier podcast Sophos-Naked Security
Billet inspiré de Critical Android flaws patched in February bulletin, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.