本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策
MeWidget是华为Emotion UI的一个插件。华为智能手机P7中的MeWidget插件存在可能导致联系人信息泄漏的安全漏洞。攻击者可以通过安装在手机上的恶意软件,获取联系人的名字和URI信息。(漏洞编号:HWPSIRT-2014-0891)
该漏洞的CVE编号为: CVE-2015-2246。
产品名称 |
版本号 |
修复产品版本号 |
P7-L10 |
V100R001C00B136及之前的版本 |
V100R001C00B159 |
通过利用漏洞,攻击者可以通过安装在手机上的恶意软件,获取手机用户联系人的名字和URI信息。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:5.0 (AV:N/AC:L/Au:N/C:P/I:N/A:N)
临时得分:4.1 (E:F/RL:O/RC:C)
攻击者必须诱使用户安装其提供的恶意软件
2. 攻击步骤:
某些用户将联系人信息绑定到MeWidget插件上,而MeWidget没有对这些联系人信息的访问进行控制。所以,第三方软件可以读取绑定到MeWidget的联系人信息。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由台湾安全研究团队发现。华为应急响应团队尚未知悉关于该漏洞的任何公开声明或者恶意使用。
在此,华为公司对该安全研究团队对华为公司产品的关注表示感谢。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-02-13 V1.0 INITIAL
无