Huawei, Samsung, Xiaomi mobilok többszörös sérülékenység

Huawei, Samsung, Xiaomi mobilok többszörös sérülékenység
Angol cím: Huawei, Samsung, Xiaomi mobiles multiple vulnerabilities

CH azonosító: CH-14895
Publikálás dátuma: 2020.05.27.
Utolsó módosítás dátuma: 2020.05.27.

Leírás

A CVE-2017-15308 – CVE-2017-15310, CVE-2018-7931, CVE-2018-7932, CVE-2019-6741, CVE-2019-6742, CVE-2020-9530, CVE-2020-9531 számokon a Huawei Mate 9 Pro, Samsung Galaxy S9 és a Xiaomi Mi 9 mobilokat érintik a sérülékenységek. A most ismertetett sérülékenységek közül 1 kritikus, 5 magas 3 pedig közepes kockázati besorolású. Sikeres kihasználás esetén a támadó információkhoz férhet hozzá, rendszerfájlok elérését akadályozhatja meg, kéretlen applikációk telepítését okozhatja, az általa kijelölt weboldalak káros kódjainak futtatását idézheti elő, illetve tetszőleges kódfuttatási jogosultságot szerezhet az érintett rendszeren.

Leírás forrása: Egyéb referencia: blog.f-secure.com Leírás utolsó módosítása: 2020.05.27.

Elemzés leírás

Az érintett mobilokban több sebezhetőséget fedeztek fel, amelyek a régió-specifikus alapbeállításokból, a gyártó által már előre feltelepített szoftverekből (Huawei iReader), illetve az általuk kifejlesztett saját – applikációk letöltését elősegítő – áruházaik (Huawei AppGallery, Xiaomi GetApps) helytelen implementálásából fakadnak, amelyek közül a legsúlyosabb lehetővé teheti a tetszőleges távoli kódfuttatást.

A sérülékenységek a mobilok applikációinak, és a firmware szoftver naprakészen tartásával kiküszöbölhetőek.

A jelen leírásban szereplő egyes sérülékenységek hosszabb ideje ismertek, a kihasználásuk módja és az így jelentkező fenyegetettség miatt jelenítjük meg azokat.

Elemzés leírás forrása: Egyéb referencia: blog.f-secure.com Elemzés leírás utolsó módosítása: 2020.05.27.

Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

Hivatkozások

Egyéb referencia: blog.f-secure.com
Gyártói referencia: www.huawei.com
Gyártói referencia: www.huawei.com
Gyártói referencia: security.samsungmobile.com
Egyéb referencia: www.zerodayinitiative.com
Gyártói referencia: sec.xiaomi.com
CVE-2018-7931 - NVD CVE-2018-7931
CVE-2018-7932 - NVD CVE-2018-7932
CVE-2017-15308 - NVD CVE-2017-15308
CVE-2017-15309 - NVD CVE-2017-15309
CVE-2017-15310 - NVD CVE-2017-15310
CVE-2019-6741 - NVD CVE-2019-6741
CVE-2019-6742 - NVD CVE-2019-6742
CVE-2020-9530 - NVD CVE-2020-9530
CVE-2020-9531 - NVD CVE-2020-9531

Legfrissebb sérülékenységek
CVE-2023-42917 – Apple iOS sérülékenysége
CVE-2023-42916 – Apple iOS sérülékenysége
CVE-2023-37928 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-4474 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-4473 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-37927 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-35137 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-35138 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-49693 – NETGEAR ProSAFE Network Management System sérülékenysége
CVE-2023-5822 – CodeDropz Drag and Drop Multiple File Upload - Contact Form for WordPress sérülékenysége
Tovább a sérülékenységekhez »