Huawei, Samsung, Xiaomi mobilok többszörös sérülékenység

CH azonosító: CH-14895
Cím: Huawei, Samsung, Xiaomi mobilok többszörös sérülékenység
Angol cím: Huawei, Samsung, Xiaomi mobiles multiple vulnerabilities

Publikálás dátuma: 2020.05.27.
Utolsó módosítás dátuma: 2020.05.27.


Leírás

A CVE-2017-15308 – CVE-2017-15310, CVE-2018-7931, CVE-2018-7932, CVE-2019-6741, CVE-2019-6742, CVE-2020-9530, CVE-2020-9531 számokon a Huawei Mate 9 Pro, Samsung Galaxy S9 és a Xiaomi Mi 9 mobilokat érintik a sérülékenységek. A most ismertetett sérülékenységek közül 1 kritikus, 5 magas 3 pedig közepes kockázati besorolású. Sikeres kihasználás esetén a támadó információkhoz férhet hozzá, rendszerfájlok elérését akadályozhatja meg, kéretlen applikációk telepítését okozhatja, az általa kijelölt weboldalak káros kódjainak futtatását idézheti elő, illetve tetszőleges kódfuttatási jogosultságot szerezhet az érintett rendszeren.


Leírás forrása: Egyéb referencia: blog.f-secure.com
Leírás utolsó módosítása: 2020.05.27.


Elemzés leírás

Az érintett mobilokban több sebezhetőséget fedeztek fel, amelyek a régió-specifikus alapbeállításokból, a gyártó által már előre feltelepített szoftverekből (Huawei iReader), illetve az általuk kifejlesztett saját – applikációk letöltését elősegítő – áruházaik (Huawei AppGallery, Xiaomi GetApps) helytelen implementálásából fakadnak, amelyek közül a legsúlyosabb lehetővé teheti a tetszőleges távoli kódfuttatást.

A sérülékenységek a mobilok applikációinak, és a firmware szoftver naprakészen tartásával kiküszöbölhetőek.

A jelen leírásban szereplő egyes sérülékenységek hosszabb ideje ismertek, a kihasználásuk módja és az így jelentkező fenyegetettség miatt jelenítjük meg azokat.


Elemzés leírás forrása: Egyéb referencia: blog.f-secure.com
Elemzés leírás utolsó módosítása: 2020.05.27.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma: