安全预警 - 华为P7手机存在绕过合法性检查的安全漏洞
- 预警编号:Huawei-SA-20141120-01-Smartphone
- 初始发布时间: 2014-11-20
- 更新发布时间: 2015-11-24
华为智能手机P7的PackageInstaller模块在第三方应用的合法性检查方面存在安全漏洞。攻击者可以修改软件中的特定信息,让手机认为该软件是从白名单网站下载,导致该软件绕过合法性检查。(漏洞编号:HWPSIRT-2014-0892)
此漏洞的CVE编号为:CVE-2014-9135。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/security/psirt/security-bulletins/security-advisories/hw-397471.htm
|
产品名称 |
版本号 |
修复产品版本号 |
|
P7-L10 |
V100R001C00B122及之前的版本 |
V100R001C00B136 |
在安装特定恶意软件时,手机不会有告警和提示。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P)
临时得分:6.2 (E:F/RL:O/RC:C)
1. 前提条件:
攻击者必须诱使用户安装其提供的恶意软件
2. 攻击步骤:
攻击者可以操纵恶意软件的特定标记,让该软件绕过手机的软件合法性检查。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由台湾安全研究团队发现。华为应急响应团队尚未知悉关于该漏洞的任何公开声明或者恶意使用。
在此,华为公司对该安全研究团队对华为公司产品的关注表示感谢。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-11-24 V1.4 FINAL
2015-11-20 V1.3 UPDATED 更新漏洞发现者信息
2015-11-13 V1.2 UPDATED 更新漏洞发现者信息
2014-11-29 V1.1 UPDATED 增加CVE ID
2014-11-20 V1.0 INITIAL无
