به تازگی محققان امنیتی چندین آسیبپذیری با شناسههای زیر در گوشیهای هوشمند Honor کشف کردهاند:
• CVE-2023-51426
• CVE-2023-51427
• CVE-2023-51428
• CVE-2023-51429
• CVE-2023-51430
• CVE-2023-51431
• CVE-2023-51432
• CVE-2023-51433
• CVE-2023-51434
• CVE-2023-51435
• CVE-2023-51426 و CVE-2023-51427 : در این دو آسیبپذیری که شدت آنها متوسط 4.6 میباشد، مهاجم میتواند مانع از دریافت برخی از سرویسها توسط کاربر بر روی تلفن همراه خود شود. به گفته محققان امنیتی از نسخه7.0 تا نسخه 7.0.0.128 سیستم عاملMagic OS در تلفنهای همراه شرکت Honor در معرض این آسیبپذیریها قرار دارند. تمام کاربران این دستگاهها، بصورت خودکار پیامی مبنی بر نیاز به اعمال بهروزرسانی دریافت خواهند کرد. با اعمال این بهروزرسانی، وصله امنیتی بر روی دستگاه آنها نصب خواهد شد. این بهروزرسانی، نسخه Magic OS در دستگاه آنها را به نسخه امن شده 7.0.0.129 ارتقاء میدهد. در فرآیند پیادهسازی این دو آسیبپذیری، از روشهای مرسوم در حملات مبتنی Type Confusion استفاده شده است.
• CVE-2023-51428: این آسیبپذیری نیز مانند دو آسیبپذیری قبلی دارای شدت متوسط 4.6 است. جزئیات و نحوه بهروزرسانی، نسخههای آسیبپذیر و سایر نکات در خصوص این آسیبپذیری نیز مشابه دو آسیبپذیری قبلی است. در فرآیند پیادهسازی این آسیبپذیری، همانند دو آسیبپذیری قبل، از روشهای مرسوم در آسیبپذیری Type Confusion استفاده شده است.
*این سه آسیبپذیری به دلیل ایجاد خطا در نوع پارامتر ورودی که مورد تأیید کد منبع یک برنامه یا نرمافزار باشد، رخ میدهد؛ اما پارامتری که در هر یک از این آسیبپذیریها توسط مهاجم مورد هدف قرار میگیرد، متفاوت است.
• CVE-2023-51429: این آسیبپذیری که شدت آن متوسط 6 است به مهاجم این امکان را میدهند تا با بهرهبرداری از آن بتواند به اطلاعات کاربر دسترسی پیدا کند و به عبارت دیگر موفق به پیادهسازی حملات مبتنی information leakage شود. از نسخه7.0 تا نسخه 7.0.0.155 سیستم عاملMagic OS در تلفنهای همراه شرکت Honor در معرض این آسیبپذیری قرار دارند. تمام کاربران این دستگاهها، بصورت خودکار پیامی مبنی بر نیاز به انجام بهروزرسانی دریافت خواهند کرد. با اعمال این بهروز رسانی، وصله امنیتی بر روی دستگاه آنها نصب خواهد شد. این بهروزرسانی نسخه Magic OS در دستگاه آنها را به نسخه امن شده 7.0.0.156 ارتقاء میدهد. در فرآیند پیادهسازی این آسیبپذیری از روشهای مرسوم در آسیبپذیری Incorrect Privilege Assignment استفاده شده است.
• CVE-2023-51430: این آسیبپذیری که شدت آن متوسط 4.4 است، به مهاجم این امکان را میدهند تا با بهرهبردرای از آن بتواند به اطلاعات کاربر دسترسی پیدا کند. به گفته محققان امنیتی از نسخه6.0 تا نسخه 6.1.0.211 رابط کاربریMagic UI ، در تلفنهای همراه شرکت Honor در معرض این آسیبپذیری قرار دارند. تمام کاربران این دستگاهها بصورت خودکار پیامی مبنی بر نیاز به اعمال بهروزرسانی دریافت خواهند کرد. با اعمال این بهروز رسانی، وصله امنیتی بر روی دستگاه آنها نصب خواهد شد. این بهروزرسانی نسخه Magic UI در دستگاه آنها را به نسخه امن شده 6.1.0.212 ارتقاء میدهد. در فرآیند پیادهسازی این آسیبپذیری از روشهای مرسوم در حملات مبتنی information leakage استفاده شده است.
• CVE-2023-51431: این آسیبپذیری که شدت آن بالا و دارای نمره 7 است، به مهاجم امکان میدهد تا با سوء استفاده از آن بتواند مانع از دریافت بعضی از سرویسها توسط کاربر بر روی تلفن همراه خود شود. به گفته محققان امنیتی از نسخه11.0.0.241 تا نسخه 11.0.0.242 سرویس com.hihonor.phoneservice در تلفنهای همراه شرکت Honor در معرض این آسیبپذیری قرار دارند. تمام کاربران این دستگاهها بصورت خودکار پیامی مبنی بر نیاز به اعمال بهروزرسانی دریافت خواهند کرد. با اعمال این بهروزرسانی، وصله امنیتی بر روی دستگاه آنها نصب خواهد شد. این بهروزرسانی نسخه com.hihonor.phoneservice در دستگاه آنها را به نسخه امن شده 11.0.0.243 ارتقاء میدهد. در فرآیند پیادهسازی این آسیبپذیری، از روشهای مرسوم در آسیبپذیری Incorrect Privilege Assignment استفاده شده است.
• CVE-2023-51432: این آسیبپذیری که شدت آن پایین 3.2 است، به مهاجم این امکان را میدهند تا با بهرهبرداری از آن بتواند به اطلاعات کاربر دسترسی پیدا کند و به عبارت دیگر موفق به پیادهسازی حملات مبتنی information leakage شود. از نسخه6.0 تا نسخه 6.1.0.211 رابط کاربریMagic UI ، در تلفنهای همراه شرکت Honor در معرض این آسیبپذیری قرار دارند. تمام کاربران این دستگاهها، بصورت خودکار پیامی مبنی بر نیاز به اعمال بهروزرسانی دریافت خواهند کرد. با اعمال این بهروزرسانی، وصله امنیتی بر روی دستگاه آنها نصب خواهد شد. این بهروزرسانی، نسخه Magic UI در دستگاه آنها را به نسخه امن شده 6.1.0.212 ارتقاء میدهد. در فرآیند پیادهسازی، این آسیبپذیری از روشهای مرسوم در آسیبپذیری Out-Of-Bounds Read استفاده شده است.
• CVE-2023-51433: این آسیبپذیری که شدت آن پایین 2.9 است به مهاجم این امکان را میدهد تا با بهرهبرداری از آن بتواند مانع از دریافت بعضی از سرویسها توسط کاربر بر روی تلفن همراه خود شود. از نسخه6.0 تا نسخه 6.1.0.211 رابط کاربریMagic UI در تلفنهای همراه شرکت Honor در معرض این آسیبپذیری قرار دارند. تمام کاربران این دستگاهها، بصورت خودکار پیامی مبنی بر نیاز به اعمال بهروز رسانی دریافت خواهند کرد. با اعمال این بهروز رسانی وصله امنیتی بر روی دستگاه آنها نصب خواهد شد. این بهروزرسانی، نسخه Magic UI در دستگاه آنها را به نسخه امن شده 6.1.0.212 ارتقاء میدهد. در فرآیند پیادهسازی این آسیبپذیری از روشهای مرسوم حملات مبتنی information leakage استفاده شده است.
• CVE-2023-51434: این آسیبپذیری که شدت آن بحرانی 9.3 است به مهاجم این امکان را میدهد تا با بهرهبرداری از آن بتواند اجرای کد از راه دور (RCE) را بر روی تلفنهای همراه شرکت Honor پیادهسازی کند. از نسخه6.0 تا نسخه 6.1.0.211 رابط کاربریMagic UI در تلفنهای همراه شرکت Honor در معرض این آسیبپذیری قرار دارند. تمام کاربران این دستگاهها بصورت خودکار پیامی مبنی بر نیاز به اعمال بهروز رسانی دریافت خواهند کرد. با اعمال این بهروز رسانی وصله امنیتی بر روی دستگاه آنها نصب خواهد شد. این بهروزرسانی نسخه Magic UI در دستگاه آنها را به نسخه امن شده 6.1.0.212 ارتقاء میدهد. در فرآیند پیادهسازی این آسیبپذیری، از روشهای مرسوم در آسیبپذیری Buffer Overflow استفاده شده است.
• CVE-2023-51435: این آسیبپذیری که شدت آن بالا 7.1 است به مهاجم امکان میدهد تا با بهرهبرداری از آن بتواند به اطلاعات کاربر دسترسی پیدا کند و مانع از دریافت بعضی از سرویسها توسط کاربر بر روی تلفن همراه خود شود. از نسخه6.0 تا نسخه 6.1.0.211 رابط کاربریMagic UI در تلفنهای همراه شرکت Honor در معرض این آسیبپذیری قرار دارند. تمام کاربران این دستگاهها بصورت خودکار پیامی مبنی بر نیاز به اعمال بهروز رسانی دریافت خواهند کرد. با اعمال این بهروزرسانی وصله امنیتی بر روی دستگاه آنها نصب خواهد شد. این بهروزرسانی، نسخه Magic UI در دستگاه آنها را به نسخه امن شده 6.1.0.212 ارتقاء میدهد. در فرآیند پیادهسازی این آسیبپذیری از روشهای مرسوم در حملات مبتنی information leakage استفاده شده است.
منابع خبر:
[1] https://www.cve.org/CVERecord?id=CVE-2023-51426
[2] https://www.cve.org/CVERecord?id=CVE-2023-51427
[3] https://www.cve.org/CVERecord?id=CVE-2023-51428
[4] https://www.cve.org/CVERecord?id=CVE-2023-51429
[5] https://www.cve.org/CVERecord?id=CVE-2023-51430
[6] https://www.cve.org/CVERecord?id=CVE-2023-51431
[7] https://www.cve.org/CVERecord?id=CVE-2023-51432
[8] https://www.cve.org/CVERecord?id=CVE-2023-51433
[9] https://www.cve.org/CVERecord?id=CVE-2023-51434
[10] https://www.cve.org/CVERecord?id=CVE-2023-51435
- 51