安全预警 - 华为智能手机整数溢出漏洞
- 预警编号:Huawei-SA-20160104-01-SmartPhone
- 初始发布时间: 2016-01-04
- 更新发布时间: 2016-01-06
华为某款智能手机存在一个整数溢出漏洞。攻击者诱使用户安装恶意应用并通过该应用获取到设备的 system或者camera权限后,可利用该漏洞获取root权限。(漏洞编号:HWPSIRT-2015-11025)
此漏洞的CVE编号为:CVE-2015-8304。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20160104-01-smartphone-cn
|
产品名称 |
版本号 |
修复版本号 |
|
P7 |
P7-L07 V100R001C01B606之前版本 |
P7-L07 V100R001C01B606 |
攻击者利用该漏洞,可以提权至root权限。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:6.2 (AV:L/AC:H/Au:N/C:C/I:C/A:C)
临时得分:5.1 (E:F/RL:O/RC:C)
1 前提条件:
攻击者成功地诱使用户安装恶意应用软件。
2 攻击步骤:
攻击者诱使用户安装恶意应用并通过该应用获取到设备的 system或者camera权限后,利用该漏洞可以将权限提升至root。
无
1. 用户可以通过华为消费者业务官方网站(http://emui.huawei.com/cn/portal.php)获取更新版本。
2. 用户可以通过华为TAC (Huawei Technical Assistance Center)获取更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/psirt/report-vulnerabilities/index.htm
该漏洞是由阿里巴巴移动安全团队的肖鹏和杨成明报告给华为PSIRT。华为感谢他们与我们协同披露漏洞,以保护华为的客户。
2016-01-06 V1.1 UPDATED 在“漏洞来源”章节增加另外一名漏洞发现者
2016-01-04 V1.0 INITIAL
无
