freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

华为Mate7存安全漏洞,多版本受影响 金币
2015-11-10 11:20:53

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

背景介绍:

该漏洞由启明星辰积极防御实验室(ADLAB)的张睿智和闻观行发现,并在2015年11月4日召开的CSS 中国互联网安全领袖峰会上公开。

在漏洞信息公开前,ADLAB已将该漏洞提交华为PSIRT(PSIRT@huawei.com)及国家信息安全漏洞库(CNNVD)进行处置和预警。华为在收到漏洞后,于11月4日提供了Mate7手机的修复版本;国家信息安全漏洞库(CNNVD)也已收录此漏洞,并分配漏洞编号(CNNVD-201511-099)。

漏洞概述:

华为Mate7的HIFI驱动程序中存在一个内存堆溢出安全漏洞。攻击者可能诱使用户安装恶意应用程序并用应用程序读取和修改内存数据,这将导致系统重启或权限提升。

攻击者诱使用户在手机上安装恶意应用软件。该应用软件可以通过手机的系统调用访问特定的HIFI接口。由于HIFI驱动中对应用传入的地址值判断不足,导致攻击者可以利用漏洞读取和修改手机内存地址,这将导致系统异常重启或者获取手机的root权限。

受影响版本和修复方案

华为已发布版本修复该漏洞。安全预警链接:

http://www.huawei.com/cn/security/psirt/security-bulletins/security-advisories/hw-460348.htm

产品的版本和修复版本见下表:

修复版本获取途径:

1、 支持自动更新的手机会收到系统更新提示,手机用户通过执行系统更新,完成对漏洞的修复。
2、 用户还可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。

*参考:cnnvd,编译/洛竹渲,内容有所修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞 # 华为 # Mate7
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦