Huawei, Samsung, Xiaomi mobilok többszörös sérülékenység

CH azonosító: CH-14895
Cím: Huawei, Samsung, Xiaomi mobilok többszörös sérülékenység
Angol cím: Huawei, Samsung, Xiaomi mobiles multiple vulnerabilities

Publikálás dátuma: 2020.05.27.
Utolsó módosítás dátuma: 2020.05.27.


Leírás

A CVE-2017-15308 – CVE-2017-15310, CVE-2018-7931, CVE-2018-7932, CVE-2019-6741, CVE-2019-6742, CVE-2020-9530, CVE-2020-9531 számokon a Huawei Mate 9 Pro, Samsung Galaxy S9 és a Xiaomi Mi 9 mobilokat érintik a sérülékenységek. A most ismertetett sérülékenységek közül 1 kritikus, 5 magas 3 pedig közepes kockázati besorolású. Sikeres kihasználás esetén a támadó információkhoz férhet hozzá, rendszerfájlok elérését akadályozhatja meg, kéretlen applikációk telepítését okozhatja, az általa kijelölt weboldalak káros kódjainak futtatását idézheti elő, illetve tetszőleges kódfuttatási jogosultságot szerezhet az érintett rendszeren.


Leírás forrása: Egyéb referencia: blog.f-secure.com
Leírás utolsó módosítása: 2020.05.27.


Elemzés leírás

Az érintett mobilokban több sebezhetőséget fedeztek fel, amelyek a régió-specifikus alapbeállításokból, a gyártó által már előre feltelepített szoftverekből (Huawei iReader), illetve az általuk kifejlesztett saját – applikációk letöltését elősegítő – áruházaik (Huawei AppGallery, Xiaomi GetApps) helytelen implementálásából fakadnak, amelyek közül a legsúlyosabb lehetővé teheti a tetszőleges távoli kódfuttatást.

A sérülékenységek a mobilok applikációinak, és a firmware szoftver naprakészen tartásával kiküszöbölhetőek.

A jelen leírásban szereplő egyes sérülékenységek hosszabb ideje ismertek, a kihasználásuk módja és az így jelentkező fenyegetettség miatt jelenítjük meg azokat.


Elemzés leírás forrása: Egyéb referencia: blog.f-secure.com
Elemzés leírás utolsó módosítása: 2020.05.27.


Hatás

CVSS3 Severity and Metrics

Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score:
Exploitability Score:


Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

CVSS2 Severity and Metrics

Base score: (Nincs)
Vector:
Impact Subscore:
Exploitability Subscore: