安全预警 - 华为掌阅手机APP中的多个安全漏洞
- 预警编号:huawei-sa-20171120-01-hwreader
- 初始发布时间: 2017-11-20
- 更新发布时间: 2017-11-20
华为掌阅手机APP中存在三个安全漏洞。
该APP存在一个输入校验漏洞。由于软件加载网络数据时对所使用的URL校验不足,攻击者可以控制APP访问并加载攻击者所创建的恶意网页,进而运行网页中的代码。 (漏洞编号:HWPSIRT-2017-11023)
此漏洞的CVE编号为: CVE-2017-15308.
该APP也存在一个路径遍历漏洞。由于软件对文件存储路径校验不足,攻击者可以利用漏洞将下载的恶意文件保存到攻击者指定的任意目录,影响系统数据的可用性。 (漏洞编号:HWPSIRT-2017-11073)
此漏洞的CVE编号为: CVE-2017-15309.
该APP还存在一个任意删除文件的安全漏洞。由于缺少输入校验,攻击者可以利用漏洞将SD卡上特定文件删除,影响系统数据的可用性。 (漏洞编号:HWPSIRT-2017-11074)
此漏洞的CVE编号为: CVE-2017-15310.
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20171120-01-hwreader-cn
该APP存在一个输入校验漏洞。由于软件加载网络数据时对所使用的URL校验不足,攻击者可以控制APP访问并加载攻击者所创建的恶意网页,进而运行网页中的代码。 (漏洞编号:HWPSIRT-2017-11023)
此漏洞的CVE编号为: CVE-2017-15308.
该APP也存在一个路径遍历漏洞。由于软件对文件存储路径校验不足,攻击者可以利用漏洞将下载的恶意文件保存到攻击者指定的任意目录,影响系统数据的可用性。 (漏洞编号:HWPSIRT-2017-11073)
此漏洞的CVE编号为: CVE-2017-15309.
该APP还存在一个任意删除文件的安全漏洞。由于缺少输入校验,攻击者可以利用漏洞将SD卡上特定文件删除,影响系统数据的可用性。 (漏洞编号:HWPSIRT-2017-11074)
此漏洞的CVE编号为: CVE-2017-15310.
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20171120-01-hwreader-cn
|
产品名称 |
版本号 |
修复版本号 |
|
华为掌阅 |
The versions before 8.0.2.301 |
8.0.2.301 |
HWPSIRT-2017-11023:
攻击者可以利用此漏洞运行所加载恶意网页中的代码。
HWPSIRT-2017-11073:
攻击者可以利用此漏洞访问系统的任意目录。
HWPSIRT-2017-11074:
攻击者可以利用此漏洞删除SD卡上的特定文件。
攻击者可以利用此漏洞运行所加载恶意网页中的代码。
HWPSIRT-2017-11073:
攻击者可以利用此漏洞访问系统的任意目录。
HWPSIRT-2017-11074:
攻击者可以利用此漏洞删除SD卡上的特定文件。
漏洞使用CVSSv3计分系统进行分级(http://www.first.org/cvss/specification-document)
HWPSIRT-2017-11023:
基础得分:6.3 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L)
临时得分:5.9 (E:F/RL:O/RC:C)
HWPSIRT-2017-11073:
基础得分:6.5 (AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N)
临时得分:6.0 (E:F/RL:O/RC:C)
HWPSIRT-2017-11074:
基础得分:6.5 (AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N)
临时得分:6.0 (E:F/RL:O/RC:C)
HWPSIRT-2017-11023:
基础得分:6.3 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L)
临时得分:5.9 (E:F/RL:O/RC:C)
HWPSIRT-2017-11073:
基础得分:6.5 (AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N)
临时得分:6.0 (E:F/RL:O/RC:C)
HWPSIRT-2017-11074:
基础得分:6.5 (AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N)
临时得分:6.0 (E:F/RL:O/RC:C)
HWPSIRT-2017-11023:
利用漏洞发起攻击的预置条件:
攻击者成功诱使用户访问恶意网页链接。
漏洞详细描述:
由于软件加载网络数据时对所使用的URL校验不足,攻击者可以控制APP访问并加载攻击者所创建的恶意网页,进而运行网页中的代码
。
HWPSIRT-2017-11073:
利用漏洞发起攻击的预置条件:
攻击者成功诱使用户访问恶意网页链接。
漏洞详细描述:
由于软件对文件存储路径校验不足,攻击者可以利用漏洞将下载的恶意文件保存到攻击者指定的任意目录,影响系统数据的可用性。
HWPSIRT-2017-11074:
利用漏洞发起攻击的预置条件:
攻击者成功诱使用户访问恶意网页链接。
漏洞详细描述:
由于缺少输入校验,攻击者可以利用漏洞将SD卡上特定文件删除,影响系统数据的可用性。
利用漏洞发起攻击的预置条件:
攻击者成功诱使用户访问恶意网页链接。
漏洞详细描述:
由于软件加载网络数据时对所使用的URL校验不足,攻击者可以控制APP访问并加载攻击者所创建的恶意网页,进而运行网页中的代码
。
HWPSIRT-2017-11073:
利用漏洞发起攻击的预置条件:
攻击者成功诱使用户访问恶意网页链接。
漏洞详细描述:
由于软件对文件存储路径校验不足,攻击者可以利用漏洞将下载的恶意文件保存到攻击者指定的任意目录,影响系统数据的可用性。
HWPSIRT-2017-11074:
利用漏洞发起攻击的预置条件:
攻击者成功诱使用户访问恶意网页链接。
漏洞详细描述:
由于缺少输入校验,攻击者可以利用漏洞将SD卡上特定文件删除,影响系统数据的可用性。
无
受影响的应用可以在手机应用市场下载版本更新,完成对漏洞的修复。
该漏洞是由安全研究团队MWR Labs披露。
2017-11-20 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
本文件按“原样”提供,不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。 在任何情况下,华为技术有限公司,或其直接或间接控制的子公司,或其供应商,对任何损失,包括直接,间接,偶然,必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。华为可以随时对本文件所载的内容和信息进行修改或更新。
