Huawei, Samsung, Xiaomi mobilok többszörös sérülékenység

Huawei, Samsung, Xiaomi mobilok többszörös sérülékenység
Angol cím: Huawei, Samsung, Xiaomi mobiles multiple vulnerabilities

CH azonosító: CH-14895
Publikálás dátuma: 2020.05.27.
Utolsó módosítás dátuma: 2020.05.27.


Leírás

A CVE-2017-15308 – CVE-2017-15310, CVE-2018-7931, CVE-2018-7932, CVE-2019-6741, CVE-2019-6742, CVE-2020-9530, CVE-2020-9531 számokon a Huawei Mate 9 Pro, Samsung Galaxy S9 és a Xiaomi Mi 9 mobilokat érintik a sérülékenységek. A most ismertetett sérülékenységek közül 1 kritikus, 5 magas 3 pedig közepes kockázati besorolású. Sikeres kihasználás esetén a támadó információkhoz férhet hozzá, rendszerfájlok elérését akadályozhatja meg, kéretlen applikációk telepítését okozhatja, az általa kijelölt weboldalak káros kódjainak futtatását idézheti elő, illetve tetszőleges kódfuttatási jogosultságot szerezhet az érintett rendszeren.

Leírás forrása: Egyéb referencia: blog.f-secure.com Leírás utolsó módosítása: 2020.05.27.


Elemzés leírás

Az érintett mobilokban több sebezhetőséget fedeztek fel, amelyek a régió-specifikus alapbeállításokból, a gyártó által már előre feltelepített szoftverekből (Huawei iReader), illetve az általuk kifejlesztett saját – applikációk letöltését elősegítő – áruházaik (Huawei AppGallery, Xiaomi GetApps) helytelen implementálásából fakadnak, amelyek közül a legsúlyosabb lehetővé teheti a tetszőleges távoli kódfuttatást.

A sérülékenységek a mobilok applikációinak, és a firmware szoftver naprakészen tartásával kiküszöbölhetőek.

A jelen leírásban szereplő egyes sérülékenységek hosszabb ideje ismertek, a kihasználásuk módja és az így jelentkező fenyegetettség miatt jelenítjük meg azokat.

Elemzés leírás forrása: Egyéb referencia: blog.f-secure.com Elemzés leírás utolsó módosítása: 2020.05.27.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):



Legfrissebb sérülékenységek
CVE-2022-44580 – RichPlugins Plugin For Google Reviews for WordPress sérülékenysége
CVE-2023-23421 – Microsoft Windows sérülékenysége
CVE-2023-23422 – Microsoft Windows sérülékenysége
CVE-2023-23420 – Microsoft Windows sérülékenysége
CVE-2023-23423 – Microsoft Windows sérülékenysége
CVE-2022-39214 – Combodo iTop (aka IT Operations Portal) sérülékenysége
CVE-2022-39216 – Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition sérülékenysége
CVE-2023-27501 – sap / netweaver application server abap, SAP NetWeaver Application Server ABAP sérülékenysége
CVE-2023-26360 – Adobe ColdFusion Improper Access Control sérülékenysége
CVE-2023-23397 – Microsoft Office Outlook sérülékenysége
Tovább a sérülékenységekhez »