安全预警-华为P7手机本地拒绝服务漏洞
- 预警编号:Huawei-SA-20150211-01-P7
- 初始发布时间: 2015年02月11日
- 更新发布时间: 2015年03月20日
华为Huawei Ascend P7(Sophia-L09)手机所使用的系统为android4.4,EMUI3.0升级版本。
第三方应用发送特定的广播或者启动特定的界面会导致Phone模块崩溃。 (漏洞编号: HWPSIRT-2014-1233)。
此漏洞的CVE编号为:CVE-2015-2245。
目前已有更新版本可用。
|
产品名称 |
受影响的版本 |
修复版本 |
|
P7-L09(Sophia-L09) |
V100R001C92B604 |
V100R001C92B613 |
|
V100R001C92B606 |
||
|
V100R001C92B607 |
||
|
V100R001C92B608 |
||
|
V100R001C92B609 |
||
|
V100R001C92B610 |
无
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:5.0 (AV:N/AC:L/Au:N/C:N/I:N/A:P)
临时得分:4.5 (E:F/RL:O/RC:C)
利用漏洞发起攻击的预置条件:
- 发送广播;
- 启动某特定界面。
漏洞详细描述:
1)正常情况下特定的广播只会被Phone自己和短信模块发送,并且均会携带该广播接收者所需的特定信息。但是该组件没有增加权限保护,这样任何应用均可以发送广播给该广播接收者,如果该广播没有携带该特定信息,就会导致广播接收者Phone进程崩溃。
2)Phone模块存在某特定界面,该界面为一个隐藏界面,对用户不可见,因此如果用户正常使用手机没有任何问题。但是该界面的组件外部应用是可见的,任何应用均可以启动该界面,当其他应用启动该界面时就会出现执行错误,进而出现Phone进程崩溃。无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由乌云网站公布,链接:
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-03-20 V1.1 UPDATED Add the CVE ID for the vulnerability
2015-02-11 V1.0 INITIAL
无
