华为Mate7存安全漏洞,多版本受影响

背景介绍:

漏洞由启明星辰积极防御实验室(ADLAB)的张睿智和闻观行发现,并在2015年11月4日召开的CSS 中国互联网安全领袖峰会上公开。

在漏洞信息公开前,ADLAB已将该漏洞提交华为PSIRT(PSIRT@huawei.com)及国家信息安全漏洞库(CNNVD)进行处置和预警。华为在收到漏洞后,于11月4日提供了Mate7手机的修复版本;国家信息安全漏洞库(CNNVD)也已收录此漏洞,并分配漏洞编号(CNNVD-201511-099)。

漏洞概述:

华为Mate7的HIFI驱动程序中存在一个内存堆溢出安全漏洞。攻击者可能诱使用户安装恶意应用程序并用应用程序读取和修改内存数据,这将导致系统重启或权限提升。

攻击者诱使用户在手机上安装恶意应用软件。该应用软件可以通过手机的系统调用访问特定的HIFI接口。由于HIFI驱动中对应用传入的地址值判断不足,导致攻击者可以利用漏洞读取和修改手机内存地址,这将导致系统异常重启或者获取手机的root权限。

受影响版本和修复方案

华为已发布版本修复该漏洞。安全预警链接:

http://www.huawei.com/cn/security/psirt/security-bulletins/security-advisories/hw-460348.htm

产品的版本和修复版本见下表:

华为Mate7存安全漏洞,多版本受影响

修复版本获取途径:

1、 支持自动更新的手机会收到系统更新提示,手机用户通过执行系统更新,完成对漏洞的修复。 2、 用户还可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。

*参考: cnnvd ,编译/洛竹渲,内容有所修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » 华为Mate7存安全漏洞,多版本受影响

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址