Multiples vulnérabilités sur Android
Date de publication :
Plusieurs vulnérabilités ont été corrigées dans plusieurs versions d’Android à l’occasion du patch d’avril 2020. Elles peuvent permettre à un attaquant de provoquer une exécution de code arbitraire, une atteinte à la confidentialité des données ainsi qu’un problème de sécurité non spécifié par l’éditeur.
CVE-2019-8457 [Score CVSS v3 : 9.8] : La fonction rtreenode() de SQLite3 est vulnérable à une lecture hors-limites lors du traitement de tables R-Tree invalides. Un attaquant peut exploiter cette vulnérabilité afin d’accéder à des données sensibles.
CVE-2019-5018 [Score CVSS v3 : 8.1] : La fonction fenêtre de SQLite3 possède une vulnérabilité de type “use-after-free”. À l’aide d’une commande SQL, un attaquant peut exploiter cette vulnérabilité afin d’exécuter du code arbitraire à distance.
CVE-2020-0070 [Score CVSS v3 : 9.8] : Une vulnérabilité dans le système peut permettre à un attaquant distant, à l’aide d’un fichier spécialement forgé, d’exécuter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Atteinte à la confidentialité des données
Autre problème de sécurité non spécifié
Criticité
Score CVSS V3 : 9.8 max
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible pour l’instant
Composants vulnérables
La liste des versions vulnérables d’Android est disponible ici
CVE
La liste des CVE est disponible ici
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Android avec le correctif de sécurité d’Avril 2020
Solution de contournement
Aucune solution de contournement n’est disponible