安全预警 -华为手机产品中存在内存溢出的安全漏洞
- 预警编号:Huawei-SA-20151124-01-Smartphone
- 初始发布时间: 2015年11月24日
- 更新发布时间: 2016年01月29日
华为部分手机产品存在内存溢出的安全漏洞,攻击者可以利用这个漏洞获取Root权限,从而可以完全控制手机,修改内存数据和获取敏感信息。 (Vulnerability ID: HWPSIRT-2015-10046)。
该漏洞的CVE编号为:CVE-2015-0569,CVE-2015-0570,CVE-2015-0571。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/hw-462917
|
产品名称 |
受影响的版本 |
修复版本 |
|
荣耀4A |
SCL-AL00 C00B200及之前版本 |
SCL-AL00 C00B211 |
|
SCL-TL10H C00B200及之前版本 |
SCL-TL10H C00B211 |
|
|
SCL-TL10 C01B200及之前版本 |
SCL-TL10 C01B211 |
|
|
SCL-CL00 C92B200及之前版本 |
SCL-CL00 C92B211 |
攻击者可以利用这个漏洞获取Root权限,从而可以完全控制手机,修改内存数据和获取敏感信息。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分: 6.2 (AV:L/AC:H/Au:N/C:C/I:C/A:C)
临时得分: 5.1 (E:F/RL:O/RC:C)
1. 前提条件:
攻击者必须诱使用户安装其提供的恶意软件
2.攻击步骤
攻击者诱使用户安装恶意app,利用此漏洞可以提权到Root权限, 从而可以完全控制手机,修改内存数据和获取敏感信息。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由Slipper在2015年10月份的GeekPwn大会上公开。华为应急响应团队尚未知悉关于该漏洞的恶意使用。
2016-01-29 V1.1 UPDATED 分配CVE编号
2015-11-24 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。若您在华为的产品中发现任何安全问题,请通过下列邮箱地址报告给华为psirt@huawei.com。
