SIMonline

Сервис приема & отправки SMS

Ошибки безопасности в инструменте Huawei

359   |     /   Security

Ошибки безопасности в инструменте Huawei
Исследователи Microsoft выявили потенциально серьезную уязвимость при повышении привилегий и выполнении произвольного кода в инструменте от Huawei. Поставщик выпустил обновления, которые должны исправить недостатки.



Получить sms на виртуальный номер на сайте СИМ онлайн. Обезапасте свой телефон от спама.

Ошибки безопасности были обнаружены после того, как датчики ядра в продукте Advanced Threat Protection (ATP) Microsoft Defender обнаружили аномальное поведение, связанное с драйвером управления устройством Huawei.

Дальнейший анализ показал, что инструмент Huawei PCManager, который китайский  гигант предоставляет для своих ноутбуков MateBook, обладает уязвимостью, которую можно использовать для повышения локальных привилегий. Ошибка, отслеживаемая как CVE-2019-5241, может быть использована для повышения привилегий, если злоумышленник может заставить целевого пользователя выполнить вредоносное приложение.

В ходе анализа этого недостатка исследователи Microsoft также обнаружили CVE-2019-5242, недостаток Huawei PCManager, который можно использовать для выполнения произвольного кода. По словам Microsoft, уязвимость «позволяла коду, работающему с низкими привилегиями, читать и писать за пределами процессов - в другие процессы или даже в пространство ядра». Компания утверждает, что это может привести к «полному компромиссу компьютера».

В январе Huawei исправила уязвимости, которые она классифицировала как «высокую серьезность». Пользователи могут установить обновление вручную, но уязвимый продукт также поддерживает автоматические обновления.

25 марта Microsoft опубликовала сообщение в блоге, в котором представлены технические подробности и описывается, как были обнаружены недостатки. Проблемы были также раскрыты в прошлом месяце на конференции Microsoft Blue Hat в Израиле.

«Две уязвимости, которые мы обнаружили в драйвере, доказывают важность разработки программного обеспечения и продуктов с учетом безопасности. Границы безопасности должны соблюдаться. Поверхность атаки должна быть максимально сведена к минимуму. В этом случае недостатки можно было бы предотвратить, если бы были предприняты определенные меры предосторожности», - пишет исследовательская группа Microsoft Defender в своем блоге.

Исследователи нередко обнаруживают уязвимости в инструментах, предоставляемых основными поставщиками оборудования. В прошлом году потенциально серьезные недостатки были обнаружены в приложениях от Intel, Dell, Lenovo и LG.


Похожие новости


Множество уязвимостей, обнаруженных в технологии Java Card от Oracle

Технология Java Card от Oracle разработана для обеспечения безопасной среды для приложений, работающих на смарт-картах, SIM-картах, встроенных защищенных элементах и ​​других доверенных устройствах, которые имеют ограниченные возможности памяти и обработки. Oracle утверждает, что технология внедряется почти на шести миллиардах устройств в год, в том числе в фи...

Facebook платит 10 000$ за DoS-ошибку в библиотеке Fizz TLS

Хотя программа вознаграждений за ошибки в Facebook обычно не покрывает уязвимости, связанные с отказом в обслуживании (DoS), гигант социальных сетей решил присудить значительную награду за серьезный недостаток, связанный с Fizz, его TLS-библиотекой с открытым исходным кодом.

Борьба с огнем: риски автоматизации API

Рассмотрим тенденции атак API, такие как текущие (и неудачные) архитектурные решения для обеспечения безопасности этих транзакций API.



SIMONLINE.SU

Это не только сервис приема и отправки СМС сообщений на виртуальные номера, но еще и туториал по безопасности пользователей в современном мире, новинки разработок в IT сфере, безопасность в социальных сетях, свежие программы и уроки упрощающие нашу жизнь. Так же и другие вопросы встречающиеся у рядового пользователя. Простыми словами, каждый пользователь найдет для себя что то интересное или ответы на свои вопросы.

SIMonline © 2018 - 2020

All rights reserved