本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策

集团网站 选择区域/语言
集团网站
公司介绍、新闻动态、展会活动等信息
消费者业务网站
手机,PC和平板等智慧生活产品
企业业务网站
企业商用产品、解决方案和服务
运营商业务网站
运营商网络解决方案、产品及服务
华为云网站
华为云服务及解决方案

选择区域/语言

安全预警 - 涉及某些智能手机的不充分的完整性校验漏洞

  • 预警编号:huawei-sa-20200617-01-smartphone
  • 初始发布时间: 2020年06月17日
  • 更新发布时间: 2020年08月26日

某些华为手机上存在一个不充分的完整性校验漏洞。系统没有充分地校验某个软件包的完整性,漏洞被利用成功后,攻击者可以使设备加载其精心构造的软件包。 (漏洞编号:HWPSIRT-2019-11020)

此漏洞的CVE编号为: CVE-2020-1834。

华为已发布版本修复该漏洞。安全预警链接:

http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20200617-01-smartphone-cn


产品名称

版本号

修复版本号

HUAWEI Mate 20

10.1.0.135(C00E135R3P8)之前版本

10.1.0.135(C00E135R3P8)

10.1.0.135(C01E135R2P8)之前版本

10.1.0.135(C01E135R2P8)

HUAWEI Mate 20 Pro

10.1.0.270(C432E7R1P5)之前版本

10.1.0.270(C432E7R1P5)

10.1.0.270(C635E3R1P5)之前版本

10.1.0.270(C635E3R1P5)

10.1.0.273(C185E7R2P4)之前版本

10.1.0.273(C185E7R2P4)

10.1.0.273(C636E7R2P4)之前版本

10.1.0.273(C636E7R2P4)

10.1.0.277(C10E7R2P4)之前版本

10.1.0.277(C10E7R2P4)

10.1.0.277(C461E7R1P5)之前版本

10.1.0.277(C461E7R1P5)

10.1.0.277(C605E7R1P5)之前版本

10.1.0.277(C605E7R1P5)

HUAWEI Mate 20 X

10.1.0.135(C00E135R2P8)之前版本

10.1.0.135(C00E135R2P8)

10.1.0.135(C01E135R2P8)之前版本

10.1.0.135(C01E135R2P8)

HUAWEI P30

10.1.0.123(C432E22R2P5)之前版本

10.1.0.123(C432E22R2P5)

10.1.0.126(C10E7R5P1)之前版本

10.1.0.126(C10E7R5P1)

10.1.0.126(C461E7R3P1)之前版本

10.1.0.126(C461E7R3P1)

10.1.0.126(C636E7R3P4)之前版本

10.1.0.126(C636E7R3P4)

10.1.0.128(C635E3R2P4)之前版本

10.1.0.128(C635E3R2P4)

10.1.0.135(C00E135R2P11)之前版本

10.1.0.135(C00E135R2P11)

HUAWEI P30 Pro

10.1.0.135(C00E135R2P8)之前版本

10.1.0.135(C00E135R2P8)

10.1.0.135(C01E135R2P8)之前版本

10.1.0.135(C01E135R2P8)

10.1.0.160(C00E160R2P8)之前版本

10.1.0.160(C00E160R2P8)

Honor View 20

10.0.0.179(C636E3R4P3)之前版本

10.0.0.179(C636E3R4P3)

10.0.0.180(C10E5R4P3)之前版本

10.0.0.180(C10E5R4P3)

10.0.0.180(C432E10R3P4)之前版本

10.0.0.180(C432E10R3P4)

HUAWEI Mate 20 RS 保时捷设计

10.1.0.135(C786E135R3P8)之前版本

10.1.0.135(C786E135R3P8)

荣耀V20

10.1.0.160(C00E160R2P11)之前版本

10.1.0.160(C00E160R2P11)

荣耀20

9.1.0.179(C00E179R8P2)之前版本

9.1.0.179(C00E179R8P2)

Yale-AL50A

9.1.1.158(C00E156R8P2)之前版本

9.1.1.158(C00E156R8P2)

Yale-L21A

10.0.0.184(C10E3R3P2)之前版本

10.0.0.184(C10E3R3P2)

10.0.0.184(C432E9R5P1)之前版本

10.0.0.184(C432E9R5P1)


漏洞被利用成功后,攻击者可以使设备加载其精心构造的软件包。


漏洞使用CVSSv3计分系统进行分级(http://www.first.org/cvss/specification-document

基础得分:4.6 (AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)

临时得分:4.3 (E:F/RL:O/RC:C)


利用漏洞发起攻击的预置条件:

攻击者获取到手机。

漏洞详细描述:

系统没有充分地校验某个软件包的完整性,漏洞被利用成功后,攻击者可以使设备加载其精心构造的软件包。



支持自动更新的产品会收到系统更新提示,您可以通过安装更新来修复该漏洞。

该漏洞由华为内部测试发现。


2020-08-26 V1.1 UPDATED 刷新受影响产品版本和修复信息;

2020-06-17 V1.0 INITIAL


华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。

获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities

本文件按“原样”提供,不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。 在任何情况下,华为技术有限公司,或其直接或间接控制的子公司,或其供应商,对任何损失,包括直接,间接,偶然,必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。华为可以随时对本文件所载的内容和信息进行修改或更新。
在线客服

在线客服

个人及家庭产品

热线:950800(7*24小时)

查找零售店
咨询客服

华为云服务

热线:4000-955-988|950808

预约售前专属顾问
智能客服

企业服务

热线:400-822-9999

查找经销商
咨询客服

运营商网络服务

热线:4008302118

技术支持中心
查看全部联系方式