Huawei P9 vor EVA-AL10C00B399SP02 Multithreading Crafted Application Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
Es wurde eine problematische Schwachstelle in Huawei P9 (Smartphone Operating System) gefunden. Es geht dabei um eine unbekannte Verarbeitung der Komponente Multithreading. Dank der Manipulation durch Crafted Application kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-200 vorgenommen. Auswirken tut sich dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
Huawei P9 smartphones with the versions before EVA-AL10C00B399SP02 have an information disclosure vulnerability. The software does not properly protect certain resource which can be accessed by multithreading. An attacker tricks the user who has root privilege to install a crafted application, successful exploit could result in kernel information disclosure.Die Entdeckung des Problems geschah am 14.03.2018. Die Schwachstelle wurde am 20.03.2018 (Website) publiziert. Das Advisory findet sich auf huawei.com. Die Identifikation der Schwachstelle wird seit dem 04.12.2017 mit CVE-2017-17319 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1592 bezeichnet.
Vor einer Veröffentlichung handelte es sich 6 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version EVA-AL10C00B399SP02 vermag dieses Problem zu lösen.
Die Einträge VDB-114805 und VDB-114806 sind sehr ähnlich.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.9VulDB Meta Temp Score: 4.8
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: P9 EVA-AL10C00B399SP02
Timeline
04.12.2017 🔍14.03.2018 🔍
20.03.2018 🔍
20.03.2018 🔍
21.03.2018 🔍
22.02.2023 🔍
Quellen
Hersteller: huawei.comAdvisory: sa-20180314-01
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2017-17319 (🔍)
Siehe auch: 🔍
Eintrag
Erstellt: 21.03.2018 07:46Aktualisierung: 22.02.2023 12:20
Anpassungen: 21.03.2018 07:46 (59), 15.01.2020 08:52 (2), 22.02.2023 12:20 (4)
Komplett: 🔍
Cache ID: 18:9EE:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.