Aviso de segurança - Vulnerabilidade de leitura e gravação fora dos limites em alguns produtos headset da Huawei
- SA No:huawei-sa-20220826-01-outofboundread
- Initial Release Date: 2022.09.01
- Last Release Date: 2022.09.01
Há uma vulnerabilidade de leitura e gravação fora dos limites em alguns produtos headset (fones de ouvido). Um invasor não autenticado obtém o dispositivo fisicamente, cria uma mensagem malformada com um parâmetro específico e envia a mensagem para os produtos afetados. Devido à validação insuficiente da mensagem, pode ocorrer uma exploração para causar leitura e gravação fora dos limites. (ID da vulnerabilidade: HWPSIRT-2020-87976)
Esta vulnerabilidade recebeu um ID de Vulnerabilidades e Exposições Comuns (CVE): CVE-2020-36602.
Para produtos que lançaram atualizações de software para corrigir essa vulnerabilidade, a Huawei lançará e atualizará o Aviso de Segurança em:
http://www.huawei.com/br/psirt/security-advisories/huawei-sa-20220826-01-outofboundread-en
|
Produto afetado |
Versão afetada |
Versão resolvida |
|
576up005 HOTA-CM-H-Shark-BD |
1.0.0.576-fullpackage |
CM-H-Shark-BD 1.0.0.612 |
|
577HOTA-CM-H-Shark-BD |
1.0.0.577-fullpackage |
CM-H-Shark-BD 1.0.0.612 |
|
581up-HOTA-CM-H-Shark-BD |
1.0.0.581-fullpackage |
CM-H-Shark-BD 1.0.0.612 |
|
586-HOTA-CM-H-Shark-BD |
1.0.0.586-fullpackage |
CM-H-Shark-BD 1.0.0.612 |
|
588-HOTA-CM-H-Shark-BD |
1.0.0.588-fullpackage |
CM-H-Shark-BD 1.0.0.612 |
|
606-HOTA-CM-H-Shark-BD |
1.0.0.606-fullpackage |
CM-H-Shark-BD 1.0.0.612 |
|
BI-ACC-REPORT |
1.0.0.1 |
CM-H-Shark-BD 1.0.0.612 |
|
1.0.0.2 |
||
|
1.0.0.3 |
||
|
1.0.0.4 |
||
|
1.0.0.5 |
||
|
CM-H-Shark-BD |
1.0.0.106 |
1.0.0.612 |
|
1.0.0.116 |
||
|
1.0.0.202 |
||
|
1.0.0.208 |
||
|
1.0.0.216 |
||
|
1.0.0.226 |
||
|
1.0.0.228 |
||
|
1.0.0.510 |
||
|
1.0.0.520 |
||
|
1.0.0.522 |
||
|
1.0.0.566 |
||
|
1.0.0.576 |
||
|
1.0.0.578 |
||
|
1.0.0.586 |
||
|
1.0.0.588 |
||
|
1.0.0.66(VN2-SP11) |
||
|
1.0.0.66(VN2-SP15) |
||
|
1.0.0.66(VN2-SP17) |
||
|
1.0.0.66(VN2-SP21) |
||
|
1.0.0.66(VN2-SP27) |
||
|
1.0.0.66(VN2-SP29) |
||
|
1.0.0.66(VN2-SP31) |
||
|
1.0.0.66(VN2-SP33) |
||
|
1.9.0.208 |
1.9.0.612 |
|
|
1.9.0.216 |
||
|
1.9.0.226 |
||
|
1.9.0.228 |
||
|
1.9.0.510 |
||
|
1.9.0.520 |
||
|
1.9.0.522 |
||
|
1.9.0.566 |
||
|
1.9.0.578 |
1.0.0.612 |
|
|
1.9.0.586 |
1.9.0.612 |
|
|
1.9.0.588 |
Ao explorar essa vulnerabilidade, o invasor pode causar leitura e gravação fora dos limites.
A classificação de vulnerabilidade foi realizada usando o sistema de pontuação CVSSv3 (http://www.first.org/cvss/specification-document).
Pontuação base: 7.1 (AV:P/AC:H/PR:N/UI:N/S:C/C:L/I:H/A:H)
Pontuação temporal: 6.6 (E:F/RL:O/RC:C)
Essa vulnerabilidade pode ser explorada somente quando as seguintes condições estiverem presentes:
O invasor obtém o dispositivo e assim consegue acessá-lo.
Detalhes da vulnerabilidade:
Um invasor não autenticado obtém o dispositivo fisicamente, cria uma mensagem malformada com um parâmetro específico e envia a mensagem para os produtos afetados. Devido à validação insuficiente da mensagem, pode ocorrer uma exploração com leitura e gravação fora dos limites.
Nenhuma
Os clientes devem entrar em contato com o Huawei TAC (Huawei Technical Assistance Center) para solicitar as atualizações. Para obter informações de contato do TAC, consulte o site mundial da Huawei em http://www.huawei.com/br/psirt/report-vulnerabilities.
2022-09-01 V1.0 INICIAL
Nenhuma
A Huawei adota a proteção dos interesses finais dos usuários com os melhores esforços e o princípio de divulgação responsável e lidar com questões de segurança do produto por meio do nosso mecanismo de resposta.
Para desfrutar dos serviços Huawei PSIRT e obter informações sobre vulnerabilidade do produto Huawei, visite http://www.huawei.com/br/psirt.
Para relatar uma vulnerabilidade de segurança em produtos e soluções Huawei, envie-a para PSIRT@huawei.com. Para mais detalhes, visite http://www.huawei.com/br/psirt/report-vulnerabilities.