• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

关于“魅魔”漏洞情况的通报

安全情报 网络收集 2年前 (2016-12-26) 230次浏览 0个评论

近日,国家信息安全漏洞库(CNNVD)收到蚂蚁金服巴斯光年安全实验室关于广升 FOTA 系统升级服务存在命令执行漏洞(CNNVD-201611-438)的情况报送。广升 FOTA 官方对上述漏洞已发布升级公告。由于上述漏洞影响范围广,危害级别高危,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:

关于“魅魔”漏洞情况的通报

一、 漏洞简介

FOTA(Firmware Over-The-Air))是一款通过云端升级技术为具有连网功能的移动终端设备或便携式媒体播放器等提供固件升级、系统修复和优化的服务。上海广升信息技术有限公司(以下简称”广升”)是 FOTA 技术服务提供商之一,公司的核心业务是广升 FOTA 无线升级。

广升 FOTA 系统升级服务存在命令执行漏洞,该漏洞是源于服务的系统应用没有限制程序调用系统函数。攻击者可借助恶意的代码利用该漏洞以‘SYSTEM’权限执行任意命令,完全控制设备。

二、 漏洞危害

远程攻击者可通过构造恶意的代码利用该漏洞获取手机的系统权限,可窃取用户的敏感信息;可监听、定位、跟踪受影响设备;可控制可控制大量手机终端形成僵尸网络,进而发动大规模攻击。

三、 修复措施

目前,广升 FOTA 官方已发布针对该漏洞的安全公告,建议个人用户和合作厂商尽快按照公告流程安装修复工具以消除漏洞影响。

1. 针对个人用户,可下载并安装 FOTA 应用修复工具,根据该修复工具提示完成修复。

公告链接:http://www.adups.com/template/fota/user.html

修复工具下载地址:http://www.adups.com/patch/pathcTool.apk

2. 针对合作厂商,可登录 FOTA 管理后台,提供具有厂商签名的 REBOOT.APK,下载自动补丁包工具。

公告链接:http://www.adups.com/template/fota/hz.html

本报告由蚂蚁金服巴斯光年安全实验室(AFLSLab)提供支持。

CNNVD 将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与 CNNVD 联系。

联系方式: cnnvd@itsec.gov.cn

 


Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:关于“魅魔”漏洞情况的通报
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址