Actualités

Samsung : quand un format d’image rend vulnérable tout les smartphones du fabricant… depuis 2014 !

Infatigables, les vulnérabilités informatiques ne connaissent pas la crise (sanitaire mondiale) : un fait que doit, une fois de plus, reconnaître le fabricant Sud-Coréen, concernant un dysfonctionnement au sein du format MMS qui, par l’entremise du codec d’image QMG (Quram), aurait permis, depuis l’existence dudit format, de potentielles exécution de code à distance “sans aucune intervention de l’utilisateur“.

 

 

Assignée CVE-2020-8899 par la NVD (SVE-2020-16747, par Samsung) et qualifiée “critique”, la vulnérabilité a été reportée officiellement le 28 Janvier 2020. Mise en lumière par Mateusz Jurczyk (Google Project Zero), ce dernier a démontré le PoC en vidéo le 6 Mai dernier. Selon le billet détaillé de l’analyste sécuritaire, le problème prendrait sa source depuis une bibliothèque commune au sein d’Android : nommée Skia, celle-ci charge les ressources graphiques des applications, ce qui inclut des “sources non-fiables” comme les MMS envoyés dans un chat, une application de messagerie (y compris celle du fabricant intégrée par défaut)… autant de champ d’applications, pour le coup, qui feraient de Skia un vecteur d’attaque : “compte tenu de son exposition et du fait qu’il est écrit en C ++, Skia et ses composants liés à l’image constituent une surface d’attaque sans interaction accessible à distance sur Android, potentiellement sujette à des problèmes de sécurité de la mémoire“.

 

Outre divers formats, le QMG est édité, initialement, par Quramsoft et se retrouve présent, entre-autres, au sein des smartphones Samsung. La corruption-mémoire observée se traduirait par une réécriture du buffer-mémoire. Selon les tests de Mateusz Jurczyk, un accès-lecture serait l’approche la plus forte même si un accès-écriture n’est pas exclu mais serait plus dur à opéré.

Un patch a été fourni par Samsung pour les versions récentes d’Android (8, 9 et 10). Toutefois, le billet sécuritaire mentionne des gammes de terminaux Samsung remontant à des versions bien plus anciennes (versions 4 à 7 incluses)… A veiller !

 

Source : Bugs Chromium (Google Project Zero) – 28 Janvier 2020 – Samsung : le codec d’image QMG potentiellement exploitable depuis Android 4.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020