亚洲精品久久久一线二线三线,日本黄页在线观看

本周，Trustwave 安全研究人員發(fā)現(xiàn)了華為 LTE USB DONGLE中的提權(quán)漏洞。攻擊者近端接觸并登陸PC誘使用戶(hù)安裝一個(gè)精心編譯的惡意應(yīng)用程序，成功利用該漏洞后，攻擊者可以執(zhí)行某些未經(jīng)身份驗(yàn)證的操作。 (漏洞編號(hào)：HWPSIRT-2021-60283)

USB DONGLE是一種硬件的無(wú)線網(wǎng)卡產(chǎn)品，可以插入筆記本電腦和臺(tái)式電腦中使用，就像拇指驅(qū)動(dòng)器一樣，用于訪問(wèn)互聯(lián)網(wǎng)。但是，Trustwave 研究人員在進(jìn)行分析華為的 LTE 設(shè)備驅(qū)動(dòng)程序時(shí)，發(fā)現(xiàn)了一個(gè)權(quán)限不當(dāng)?shù)陌咐?/p>

華為L(zhǎng)TE驅(qū)動(dòng)以最大權(quán)限自動(dòng)運(yùn)行

研究人員Rakhmanov發(fā)現(xiàn)，在瀏覽他的 Mac OSX 機(jī)器上的華為USB 網(wǎng)卡設(shè)備安裝的驅(qū)動(dòng)程序文件時(shí)，研究人員發(fā)現(xiàn)了以下文件，該文件會(huì)在每次插入該網(wǎng)卡時(shí)自動(dòng)運(yùn)行：

/Library/StartupItems/MobileBrServ/mbbserviceopen.app/Contents/MacOS/mbbserviceopen

插入 USB 設(shè)備后，該文件將打開(kāi)帶有華為設(shè)備管理界面的 Web 瀏覽器。

然而，仔細(xì)觀察之后Rakhmanov 注意到這個(gè)“mbbserviceopen”文件以完全權(quán)限（777）運(yùn)行：

該 mbbserviceopen 文件有完全的讀/寫(xiě)/執(zhí)行權(quán)限的所有用戶(hù) （來(lái)源：Trustwave）

惡意用戶(hù)或攻擊者只需要用惡意代碼替換該文件，然后等待用戶(hù)開(kāi)始通過(guò)華為USB網(wǎng)卡設(shè)備使用蜂窩數(shù)據(jù)服務(wù)就可以了。

權(quán)限提升攻擊一般是指對(duì)系統(tǒng)具有，有限訪問(wèn)權(quán)限的用戶(hù)通過(guò)非法方式獲得更高級(jí)別的訪問(wèn)權(quán)限，例如通過(guò)漏洞利用或?qū)蚕砦募?lái)非法提升權(quán)限。由于此漏洞依賴(lài)于篡改安裝在計(jì)算機(jī)上的華為驅(qū)動(dòng)程序軟件，因此需要對(duì)計(jì)算機(jī)進(jìn)行本地或物理訪問(wèn)，屬于本地提權(quán)的情況。

華為發(fā)布修復(fù)指令

華為證實(shí)此漏洞，并已經(jīng)發(fā)出咨詢(xún)與安全說(shuō)明。

華為建議使用該系列USB產(chǎn)品的用戶(hù)從其官網(wǎng)上獲取“Hi Link”驅(qū)動(dòng)程序文件以解決此漏洞。

參考鏈接：https://www.bleepingcomputer.com/news/security/huawei-usb-lte-dongles-are-vulnerable-to-privilege-escalation-attacks/

華為官網(wǎng)詳情：https://www.huawei.com/cn/psirt/security-advisories/2021/huawei-sa-20210602-01-permission-cn

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用

本文來(lái)源:bleepingcomputer

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話(huà)：400-869-9193 負(fù)責(zé)人：張明

欧美另类视频一区-在线观看一区二区精品-HD免费看片,性色av一区二区咪爱,天堂av中文字幕,亚洲精品wwww