10/12~10/18 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
google android 1 在多個設定環境中,由於預設值不安全,可能會發生竊聽行為。 CVE-2020-0416

google android 1 在gatt_cl.cc的gatt_process_read_by_type_rsp中,由於缺少邊界檢查,可能造成
會越界讀取。會導致藍牙設備中的遠端資訊洩漏。
CVE-2020-0377

google android 1 在GpuService.cpp的setUpdatableDriverPath中,由於缺少檢查權限,可能導致內部記
憶體損壞。會導致權限升級。
CVE-2020-0420

google android 1 在String8.cpp的appendFormatV中,由於錯誤的設定,可能會超出寫入範圍。會導致權限升級。 CVE-2020-0421

google android 1 由於缺少邊界檢查,可能存在越界寫入的問題。 CVE-2020-0283

google android 1 由於缺少邊界檢查,可能存在越界寫入的問題。 CVE-2020-0376

google android 1 由於缺少邊界檢查,可能存在越界寫入的問題。 CVE-2020-0371

google android 1 由於缺少邊界檢查,可能存在越界寫入的問題。 CVE-2020-0367

google android 1 由於缺少邊界檢查,可能存在越界寫入的問題。 CVE-2020-0339

google android 1 在刪除String16.cpp時,由於整數溢位,可能會超出寫入範圍。會導致權限升級。 CVE-2020-0408

huawei p30_pro_firmware 1 HUAWEI P30 Pro
10.1.0.160前版本,該弱點源於一個未經認證的的攻擊者可以向目標產品發送特定錯誤參數的訊息。由於訊息中部分參數輸入驗證不足,成功利用可能導
致設備重啟。
CVE-2020-9108

huawei p30_pro_firmware 1 HUAWEI P30 Pro
10.1.0.160前版本,該弱點源於一個未經認證的的攻擊者可以向目標產品發送特定錯誤參數的訊息。由於訊息中部分參數輸入驗證不足,成功利用可能導
致設備重啟。
CVE-2020-9107

ibm cognos_analytics 1 IBM Cognos Analytics
11.0版本和11.1版本存在弱點,透過誘使使用者開啟特製的excel檔案,遠端攻擊者可利用此弱點在系?上執行任意程式碼。
CVE-2020-4302

ibm security_guardium 1 IBM Security Guardium 11.2版本
存在注入弱點,該弱點源於不正確驗證csv檔案?容造成的,攻擊者可利用該弱點在系?上執行任意程式碼。
CVE-2020-4689

lenovo diagnostics 1 Lenovo Diagnostics 存在目錄遍歷弱點,攻擊者可利用該弱點在系?上執行任意程式碼。 CVE-2020-8338

影響系統:
    • 受影響廠牌如下:
  • android
  • huawei
  • ibm
  • lenovo
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb20-293 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb20-293 )
參考資訊: US-CERT

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *