تازه ها

گوشی

January 3, 2024
18:02 چهارشنبه، 13ام دیماه 1402
کد خبر: 156623

شناسایی چندین آسیب‌پذیری در گوشی‌های هوشمند Honor

به تازگی محققان امنیتی چندین آسیب‌پذیری با شناسه‌های زیر در گوشی‌های هوشمند Honor کشف کرده‌اند:

• CVE-2023-51426
• CVE-2023-51427
• CVE-2023-51428
• CVE-2023-51429
• CVE-2023-51430
• CVE-2023-51431
• CVE-2023-51432
• CVE-2023-51433
• CVE-2023-51434
• CVE-2023-51435

• CVE-2023-51426 و CVE-2023-51427 : در این دو آسیب‌پذیری که شدت آن‌ها متوسط 4.6 می‌باشد، مهاجم می‌‌‌‌تواند مانع از دریافت برخی از سرویس‌ها توسط کاربر بر روی تلفن همراه خود شود. به گفته محققان امنیتی از نسخه7.0 تا نسخه 7.0.0.128 سیستم عاملMagic OS در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری‌ها قرار دارند. تمام کاربران این دستگاه‌ها، بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌روزرسانی دریافت خواهند کرد. با اعمال این به‌روزرسانی، وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌روزرسانی، نسخه Magic OS در دستگاه آن‌ها را به نسخه امن شده 7.0.0.129 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این دو آسیب‌پذیری، از روش‌های مرسوم در حملات مبتنی Type Confusion استفاده شده است.

• CVE-2023-51428: این آسیب‌پذیری نیز مانند دو آسیب‌پذیری قبلی دارای شدت متوسط 4.6 است. جزئیات و نحوه به‌روزرسانی، نسخه‌های آسیب‌پذیر و سایر نکات در خصوص این آسیب‌پذیری نیز مشابه دو آسیب‌پذیری قبلی است. در فرآیند پیاده‌سازی این آسیب‌پذیری، همانند دو آسیب‌پذیری قبل، از روش‌های مرسوم در آسیب‌پذیری‌ Type Confusion استفاده شده است.
*این سه آسیب‌پذیری به دلیل ایجاد خطا در نوع پارامتر ورودی که مورد تأیید کد منبع یک برنامه یا نرم‌‌‌‌افزار باشد، رخ می‌دهد؛ اما پارامتری که در هر یک از این آسیب‌پذیری‌ها توسط مهاجم مورد هدف قرار می‌گیرد، متفاوت است.

• CVE-2023-51429: این آسیب‌پذیری که شدت آن‌ متوسط 6 است به مهاجم این امکان را می‌دهند تا با بهره‌برداری از آن ‌بتواند به اطلاعات کاربر دسترسی پیدا کند و به عبارت دیگر موفق به پیاده‌سازی حملات مبتنی information leakage شود. از نسخه7.0 تا نسخه 7.0.0.155 سیستم عاملMagic OS در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها، بصورت خودکار پیامی مبنی بر نیاز به انجام به‌روزرسانی دریافت خواهند کرد. با اعمال این به‌‌‌‌روز رسانی، وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌روزرسانی نسخه Magic OS در دستگاه آن‌ها را به نسخه امن شده 7.0.0.156 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این آسیب‌پذیری از روش‌های مرسوم در آسیب‌پذیری‌ Incorrect Privilege Assignment استفاده شده است.

• CVE-2023-51430: این آسیب‌پذیری که شدت آن‌ متوسط 4.4 است، به مهاجم این امکان را می‌دهند تا با بهره‌بردرای از آن ‌بتواند به اطلاعات کاربر دسترسی پیدا کند. به گفته محققان امنیتی از نسخه6.0 تا نسخه 6.1.0.211 رابط کاربریMagic UI ، در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌روزرسانی دریافت خواهند کرد. با اعمال این به‌‌‌‌روز رسانی، وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌روزرسانی نسخه Magic UI در دستگاه آن‌ها را به نسخه امن شده 6.1.0.212 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این آسیب‌پذیری از روش‌های مرسوم در حملات مبتنی information leakage استفاده شده است.

• CVE-2023-51431: این آسیب‌پذیری که شدت آن‌ بالا و دارای نمره 7 است، به مهاجم امکان می‌دهد تا با سوء استفاده از آن ‌بتواند مانع از دریافت بعضی از سرویس‌ها توسط کاربر بر روی تلفن همراه خود شود. به گفته محققان امنیتی از نسخه11.0.0.241 تا نسخه 11.0.0.242 سرویس com.hihonor.phoneservice در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌روزرسانی دریافت خواهند کرد. با اعمال این به‌‌‌‌روزرسانی، وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌روزرسانی نسخه com.hihonor.phoneservice در دستگاه آن‌ها را به نسخه امن شده 11.0.0.243 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این آسیب‌پذیری، از روش‌های مرسوم در آسیب‌پذیری‌ Incorrect Privilege Assignment استفاده شده است.

• CVE-2023-51432: این آسیب‌پذیری که شدت آن‌ پایین 3.2 است، به مهاجم این امکان را می‌دهند تا با بهره‌برداری از آن ‌بتواند به اطلاعات کاربر دسترسی پیدا کند و به عبارت دیگر موفق به پیاده‌سازی حملات مبتنی information leakage شود. از نسخه6.0 تا نسخه 6.1.0.211 رابط کاربریMagic UI ، در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها، بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌روزرسانی دریافت خواهند کرد. با اعمال این به‌روزرسانی، وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌‌‌‌روزرسانی، نسخه Magic UI در دستگاه آن‌ها را به نسخه امن شده 6.1.0.212 ارتقاء می‌دهد. در فرآیند پیاده‌سازی، این آسیب‌پذیری از روش‌های مرسوم در آسیب‌پذیری‌ Out-Of-Bounds Read استفاده شده است.

• CVE-2023-51433: این آسیب‌پذیری که شدت آن‌ پایین 2.9 است به مهاجم این امکان را می‌دهد تا با بهره‌برداری از آن ‌بتواند مانع از دریافت بعضی از سرویس‌ها توسط کاربر بر روی تلفن همراه خود شود. از نسخه6.0 تا نسخه 6.1.0.211 رابط کاربریMagic UI در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها، بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌‌‌‌روز رسانی دریافت خواهند کرد. با اعمال این به‌‌‌‌روز رسانی وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌‌‌‌روزرسانی، نسخه Magic UI در دستگاه آن‌ها را به نسخه امن شده 6.1.0.212 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این آسیب‌پذیری از روش‌های مرسوم حملات مبتنی information leakage استفاده شده است.

• CVE-2023-51434: این آسیب‌پذیری که شدت آن‌ بحرانی 9.3 است به مهاجم این امکان را می‌دهد تا با بهره‌برداری از آن ‌بتواند اجرای کد از راه دور (RCE) را بر روی تلفن‌های همراه شرکت Honor پیاده‌سازی کند. از نسخه6.0 تا نسخه 6.1.0.211 رابط کاربریMagic UI در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌‌‌‌روز رسانی دریافت خواهند کرد. با اعمال این به‌‌‌‌روز رسانی وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌روزرسانی نسخه Magic UI در دستگاه آن‌ها را به نسخه امن شده 6.1.0.212 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این آسیب‌پذیری، از روش‌های مرسوم در آسیب‌پذیری‌ Buffer Overflow استفاده شده است.

• CVE-2023-51435: این آسیب‌پذیری که شدت آن‌ بالا 7.1 است به مهاجم امکان می‌دهد تا با بهره‌برداری از آن ‌بتواند به اطلاعات کاربر دسترسی پیدا کند و مانع از دریافت بعضی از سرویس‌ها توسط کاربر بر روی تلفن همراه خود شود. از نسخه6.0 تا نسخه 6.1.0.211 رابط کاربریMagic UI در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌‌‌‌روز رسانی دریافت خواهند کرد. با اعمال این به‌روزرسانی وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌‌‌‌روزرسانی، نسخه Magic UI در دستگاه آن‌ها را به نسخه امن شده 6.1.0.212 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این آسیب‌پذیری از روش‌های مرسوم در حملات مبتنی information leakage استفاده شده است.

در این زمینه از آرشیو ایستنا:

    • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.