L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Android Applications ~ non exhaustif

alerte de vulnérabilité CVE-2018-4844

SIMATIC WinCC OA UI for Android/iOS : accès en lecture et écriture via HMI Project Cache

Synthèse de la vulnérabilité

Produits concernés : Android Applications ~ non exhaustif, SIMATIC.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/03/2018.
Références : CERTFR-2018-AVI-140, CVE-2018-4844, SSA-822928, VIGILANCE-VUL-25611.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès via HMI Project Cache de SIMATIC WinCC OA UI for Android/iOS, afin de lire ou modifier des données.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-5249 CVE-2017-5250

Android Wink, Insteon Hub : élévation de privilèges via un jeton OAuth

Synthèse de la vulnérabilité

Produits concernés : Android Applications ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 23/02/2018.
Références : CVE-2017-5249, CVE-2017-5250, VIGILANCE-VUL-25363.

Description de la vulnérabilité

Un attaquant local peut récupérer un jeton OAuth des applications Android Wink et Insteon Hub, afin d'obtenir les privilèges de l'utilisateur final.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2017-6870 CVE-2017-6871

SIMATIC WinCC Sm@rtClient for Android : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de SIMATIC WinCC Sm@rtClient for Android.
Produits concernés : Android Applications ~ non exhaustif, SIMATIC.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données.
Provenance : LAN.
Confiance : confirmé par l'éditeur (5/5).
Date création : 08/08/2017.
Références : CVE-2017-6870, CVE-2017-6871, SSA-589378, VIGILANCE-VUL-23468.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans SIMATIC WinCC Sm@rtClient for Android.

Un attaquant peut se positionner en Man-in-the-Middle, afin de lire ou modifier des données de la session. [grav:2/4; CVE-2017-6870]

Un attaquant peut contourner les mesures de sécurité via Unlocked Mobile Device, afin d'élever ses privilèges. [grav:1/4; CVE-2017-6871]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2017-5397

Mozilla Firefox pour Android : élévation de privilèges via la corruption du cache

Synthèse de la vulnérabilité

Un attaquant peut modifier du code téléchargé par Mozilla Firefox pour Android, afin d'obtenir les privilèges du compte de l'application Firefox.
Produits concernés : Android Applications ~ non exhaustif, Firefox, SeaMonkey.
Gravité : 3/4.
Conséquences : accès/droits privilégié.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/02/2017.
Références : CERTFR-2017-AVI-046, CVE-2017-5397, MFSA-2017-04, VIGILANCE-VUL-21798.

Description de la vulnérabilité

Le produit Mozilla Firefox pour Android est un navigateur Web.

Par défaut, il utilise le cache du système pour stocker temporairement des bibliothèques. Cependant, le cache système est accessible en écriture à tout les processus.

Un attaquant peut donc modifier du code téléchargé par Mozilla Firefox pour Android, afin d'obtenir les privilèges du compte de l'application Firefox.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 20196

Android Contacts : appels téléphoniques

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à installer une application malveillante, qui emploie de Android Contacts, afin de passer des appels téléphoniques.
Produits concernés : Android Applications ~ non exhaustif, Android OS.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 22/07/2016.
Références : JVN#06212291, VIGILANCE-VUL-20196.

Description de la vulnérabilité

L'application Contacts peut être installée sur Android.

Cependant, elle accepte les requêtes des autres applications locales, qui lui demandent de passer un appel téléphonique, sans avoir la permission CALL_PHONE.

Un attaquant peut donc inviter la victime à installer une application malveillante, qui emploie de Android Contacts, afin de passer des appels téléphoniques.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-5648

Android Acer Portal : absence de validation de certificat X.509 dans une connexion TLS

Synthèse de la vulnérabilité

Un attaquant peut usurper l'identité du serveur de Acer Portal, afin de voler des authentifiants d'accès au portail puis de s'approprier le contenu stocké.
Produits concernés : Android Applications ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits client, lecture de données, création/modification de données.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/07/2016.
Références : CVE-2016-5648, VIGILANCE-VUL-20046, VU#690343.

Description de la vulnérabilité

L'application Acer Portal pour Android sert à gérer un espace de stockage dans le "nuage".

L'accès se fait avec une connexion TLS. Cependant, l'application ne vérifie pas le certificat présenté par le serveur.

Un attaquant peut donc usurper l'identité du serveur de Acer Portal, afin de voler des authentifiants d'accès au portail puis de s'approprier le contenu stocké.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 19870

Android Security & Power Booster - free : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Android Security & Power Booster - free.
Produits concernés : Android Applications ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : document.
Confiance : source unique (2/5).
Date création : 10/06/2016.
Références : VIGILANCE-VUL-19870.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Android Security & Power Booster - free.

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans le module Baidu, afin de mener un déni de service. [grav:2/4]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique 19869

Android Malwarebytes Anti-Malware : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Android Malwarebytes Anti-Malware.
Produits concernés : Android Applications ~ non exhaustif.
Gravité : 2/4.
Conséquences : création/modification de données, déni de service du service.
Provenance : serveur internet.
Confiance : source unique (2/5).
Date création : 10/06/2016.
Références : VIGILANCE-VUL-19869.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Android Malwarebytes Anti-Malware.

Un attaquant peut intercepter les communications réseaux non ou mal protégés, typiquement par WiFi, par exemple pour corrompre ou détruire les bases de signatures.Typiquement, TLS n'est pas utilisé ou l'authentification du serveur est mal faite (validation du certificat surtout). [grav:2/4]

Un attaquant peut provoquer une erreur fatale via ScAppInstallReceiver, afin de mener un déni de service. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 19868

Android Kaspersky Internet Security : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Android Kaspersky Internet Security.
Produits concernés : Android Applications ~ non exhaustif.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : serveur internet.
Confiance : source unique (2/5).
Date création : 10/06/2016.
Références : VIGILANCE-VUL-19868.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Android Kaspersky Internet Security.

Un attaquant peut intercepter les communications réseaux non ou mal protégés, typiquement par WiFi, par exemple pour corrompre ou détruire les bases de signatures.Typiquement, TLS n'est pas utilisé ou l'authentification du serveur est mal faite (validation du certificat surtout). [grav:2/4]

Un attaquant peut soumettre une archive zip avec des chemins contenant "../", afin d'écraser un fichier quelconque. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 19867

Android ESET Mobile Security & Antivirus : une vulnérabilité

Synthèse de la vulnérabilité

Un attaquant peut employer une vulnérabilité de Android ESET Mobile Security & Antivirus.
Produits concernés : Android Applications ~ non exhaustif.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : serveur internet.
Confiance : source unique (2/5).
Date création : 10/06/2016.
Références : VIGILANCE-VUL-19867.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Android ESET Mobile Security & Antivirus.

Un attaquant peut intercepter les communications réseaux non ou mal protégés, typiquement par WiFi, par exemple pour corrompre ou détruire les bases de signatures.Typiquement, TLS n'est pas utilisé ou l'authentification du serveur est mal faite (validation du certificat surtout). [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Android Applications ~ non exhaustif :