本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策
华为部分耳机产品存在一个越界读写安全漏洞。一个未经认证的攻击者物理上获取到该设备,并可以向目标产品发送特定参数的消息。由于消息中部分参数输入校验不足,成功利用可能导致设备越界读写。 (漏洞编号:HWPSIRT-2020-87976)
此漏洞的CVE编号为: CVE-2020-36602.
针对已经发布了修复版本的产品,华为会发布并持续更新此安全通告:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20220826-01-outofboundread-cn
受影响产品 |
影响版本 |
修补版本 |
576up005 HOTA-CM-H-Shark-BD |
1.0.0.576-fullpackage |
CM-H-Shark-BD 1.0.0.612 |
577HOTA-CM-H-Shark-BD |
1.0.0.577-fullpackage |
CM-H-Shark-BD 1.0.0.612 |
581up-HOTA-CM-H-Shark-BD |
1.0.0.581-fullpackage |
CM-H-Shark-BD 1.0.0.612 |
586-HOTA-CM-H-Shark-BD |
1.0.0.586-fullpackage |
CM-H-Shark-BD 1.0.0.612 |
588-HOTA-CM-H-Shark-BD |
1.0.0.588-fullpackage |
CM-H-Shark-BD 1.0.0.612 |
606-HOTA-CM-H-Shark-BD |
1.0.0.606-fullpackage |
CM-H-Shark-BD 1.0.0.612 |
BI-ACC-REPORT |
1.0.0.1 |
CM-H-Shark-BD 1.0.0.612 |
1.0.0.2 |
||
1.0.0.3 |
||
1.0.0.4 |
||
1.0.0.5 |
||
CM-H-Shark-BD |
1.0.0.106 |
1.0.0.612 |
1.0.0.116 |
||
1.0.0.202 |
||
1.0.0.208 |
||
1.0.0.216 |
||
1.0.0.226 |
||
1.0.0.228 |
||
1.0.0.510 |
||
1.0.0.520 |
||
1.0.0.522 |
||
1.0.0.566 |
||
1.0.0.576 |
||
1.0.0.578 |
||
1.0.0.586 |
||
1.0.0.588 |
||
1.0.0.66(VN2-SP11) |
||
1.0.0.66(VN2-SP15) |
||
1.0.0.66(VN2-SP17) |
||
1.0.0.66(VN2-SP21) |
||
1.0.0.66(VN2-SP27) |
||
1.0.0.66(VN2-SP29) |
||
1.0.0.66(VN2-SP31) |
||
1.0.0.66(VN2-SP33) |
||
1.9.0.208 |
1.9.0.612 |
|
1.9.0.216 |
||
1.9.0.226 |
||
1.9.0.228 |
||
1.9.0.510 |
||
1.9.0.520 |
||
1.9.0.522 |
||
1.9.0.566 |
||
1.9.0.578 |
1.0.0.612 |
|
1.9.0.586 |
1.9.0.612 |
|
1.9.0.588 |
攻击者可以利用此漏洞导致设备越界读写。
漏洞使用CVSSv3计分系统进行分级(http://www.first.org/cvss/specification-document)
基础得分:7.1 (AV:P/AC:H/PR:N/UI:N/S:C/C:L/I:H/A:H)
临时得分:6.6 (E:F/RL:O/RC:C)
利用漏洞发起攻击的预置条件:
攻击者获取到设备,并可以访问设备。
漏洞详细描述:
一个未经认证的攻击者物理上获取到该设备,并可以向目标产品发送特定参数的消息。由于消息中部分参数输入校验不足,成功利用可能导致设备越界读写。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接http://www.huawei.com/cn/psirt/report-vulnerabilities。
该漏洞是由闻观行报告给华为PSIRT。华为感谢闻观行与我们协同披露漏洞,以保护华为的客户。
2022-09-01 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。