安全预警 – 华为Mate7手机提权漏洞
- 预警编号:Huawei-SA-20150211-01-smartphone
- 初始发布时间: 2015-02-11
- 更新发布时间: 2015-02-11
Android 5.0之前版本存在一个安全漏洞,攻击者利用此漏洞获取权限提升。经过调查华为Mate 7手机受此漏洞影响 (漏洞编号: HWPSIRT-2015-01043) 。
此漏洞的CVE编号为:CVE-2014-7911。
|
产品名称 |
版本号 |
修复产品版本号 |
|
MT7-TL10(Mate 7) |
V100R001CHNC00B122SP06 |
V100R001CHNC00B123SP03 |
攻击者可能获得本地用户的帐号和密码。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:7.2 (AV:L/AC:L/Au:N/C:C/I:C/A:C)
临时得分:5.9 (E:F/RL:OF/RC:C)
攻击者把手机通过数据线和电脑相连;
2. 攻击步骤:
Android 5.0之前版本java.io.ObjectInputStream没有检查要反序列化的对象是否真的可以序列化,攻击者利用此漏洞通过恶意对象可在system_server进程中执行任意代码并获取提升的权限。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由KEEN TEAM发现。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-02-11 V1.0 INITIAL
无
