Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Pribilegioen kudeaketa desegokia Honeywell-en Android gailu mugikorretan

Argitalpen data: 2018/09/14

Garrantzia: Handia

Kaltetutako baliabideak:

  • CT60, CN80 eta CT40, Android OS 7.1 exekutatzean
  • CK75, CN51, CN75, CN75e, CT50 eta D75e, Android OS 6.0 exekutatzean
  • CT50, EDA50k eta D75e, Android OS 4.4 exekutatzean
  • EDA50, EDA50k, EDA70 eta EDA60k, Android OS 7.1 exekutatzean
  • EDA51, Android OS 8.1 exekutatzean

Azalpena:

Google-en Android Team-ek eta Honeywellek pribilegioen kudeaketa desegokiko ahultasun bat aurkitu dute Android sistema eragilea erabiltzen duten Honeywell-en hainbat gailu mugikorretan. Erasotzaile batek aplikazio gaizto bat erabil lezake pribilegioen igoera lortzeko.

Konponbidea:

  • CT60, Android OS 7.1 exekutatzean ­­- (GMS bertsioa) Android OS 84.00.11 bertsiora edo berriagora eguneratzea; (ez GMS bertsioa) Android 83.00.11 bertsiora edo berriagora eguneratzea
  • CN80, Android OS 7.1 exekutatzean ­­- (GMS bertsioa) Android OS 84.00.11 bertsiora edo berriagora eguneratzea; (ez GMS bertsioa) Android 83.00.11 bertsiora edo berriagora eguneratzea
  • CT40, Android OS 7.1 exekutatzean ­­- (GMS bertsioa) Android OS 84.00.11 bertsiora edo berriagora eguneratzea; (ez GMS bertsioa) Android 83.00.11 bertsiora edo berriagora eguneratzea
  • CK75, Android OS 6.0 exekutatzean ­­- CommonES 4.02.00.4082 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora (aplikagarria bada)
  • CN75, Android OS 6.0 exekutatzean ­­- CommonES 4.02.00.4082 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora (aplikagarria bada)
  • CN75e, Android OS 6.0 exekutatzean ­­- CommonES 4.02.00.4082 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora (aplikagarria bada)
  • CT50, Android OS 6.0 exekutatzean ­­- CommonES 4.01.00.4134 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora (aplikagarria bada)
  • D75e, Android OS 6.0 exekutatzean ­­- CommonES 4.01.00.4134 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora (aplikagarria bada)
  • CT50, Android OS 4.4 exekutatzean ­­- CommonES 3.17.3445 edo berriagora eguneratzea
  • D75e, Android OS 4.4 exekutatzean ­­- CommonES 3.17.3445 edo berriagora eguneratzea
  • CN51, Android OS 6.0 exekutatzean ­­- CommonES 4.01.03.3992 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora (aplikagarria bada)
  • EDA50k, Android OS 4.4 exekutatzean ­­- CommonES 3.17.3321.10 edo berriagora eguneratzea, data honetan eskuragarri: 2018/9/21
  • EDA50, Android OS 7.1 exekutatzean ­­- CommonES 5.01.01.4217 edo berriagora eguneratzea, data honetan eskuragarri: 2018/9/17
  • EDA50k, Android OS 7.1 exekutatzean ­­- CommonES 5.01.01.4217 edo berriagora eguneratzea, data honetan eskuragarri: 2018/9/17
  • EDA70, Android OS 7.1 exekutatzean ­­- CommonES 5.01.01.4217 edo berriagora eguneratzea, data honetan eskuragarri: 2018/9/17
  • EDA60k, Android OS 7.1 exekutatzean ­­- (ez GMS) Android 206.01.00.0018 bertsiora edo berriagora eguneratzea; ECP eguneratzea 2.30.00.0167 bertsiora edo berriagora, data honetan eskuragarri: 2018/9/17
  • EDA51, Android OS 8.1 exekutatzean ­­- CommonES 6.02.01.4593ra eguneratzea, data honetan eskuragarri: 2018/9/17

Xehetasuna:

Helburuari buruzko ezagupen aurreratuak lituzkeen erasotzaile batek sistema engainatzeko moduko aplikazio bat sor lezake eta bertan pribilegio altuak lortu. Horri esker erasotzaileak sarbidea lortuko luke honakoetara: pasahitzak, informazio pertsonala, argazkiak, emailak eta bestelako dokumentuak. Ahultasun horretarako CVE-2018-14825 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Mugikorrak, Ahultasuna