Huawei Honor 6/Honor 6 Plus/Honor 7 bis 6.9.15 PXN Defense erweiterte Rechte
Eine kritische Schwachstelle wurde in Huawei Honor 6, Honor 6 Plus sowie Honor 7 bis 6.9.15 ausgemacht. Es geht hierbei um eine unbekannte Funktion der Komponente PXN Defense. Durch Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-269. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 02.04.2017 veröffentlicht. Auf huawei.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 18.10.2016 als CVE-2016-8768 statt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 6.9.16 vermag dieses Problem zu beheben.
CVSSv3
VulDB Base Score: ≈5.5VulDB Temp Score: ≈5.3
VulDB Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X
VulDB Zuverlässigkeit: Low
CVSSv2
VulDB Base Score: ≈4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P)VulDB Temp Score: ≈3.6 (CVSS2#E:ND/RL:OF/RC:ND)
VulDB Zuverlässigkeit: Medium
CPE
- cpe:/a:huawei:honor_6:6.9.0
- cpe:/a:huawei:honor_6:6.9.1
- cpe:/a:huawei:honor_6:6.9.2
- cpe:/a:huawei:honor_6:6.9.3
- cpe:/a:huawei:honor_6:6.9.4
- cpe:/a:huawei:honor_6:6.9.5
- cpe:/a:huawei:honor_6:6.9.6
- cpe:/a:huawei:honor_6:6.9.7
- cpe:/a:huawei:honor_6:6.9.8
- cpe:/a:huawei:honor_6:6.9.9
- cpe:/a:huawei:honor_6:6.9.10
- cpe:/a:huawei:honor_6:6.9.11
- cpe:/a:huawei:honor_6:6.9.12
- cpe:/a:huawei:honor_6:6.9.13
- cpe:/a:huawei:honor_6:6.9.14
- cpe:/a:huawei:honor_6:6.9.15
- cpe:/a:huawei:honor_6_plus:6.9.0
- cpe:/a:huawei:honor_6_plus:6.9.1
- cpe:/a:huawei:honor_6_plus:6.9.2
- cpe:/a:huawei:honor_6_plus:6.9.3
- cpe:/a:huawei:honor_6_plus:6.9.4
- cpe:/a:huawei:honor_6_plus:6.9.5
- cpe:/a:huawei:honor_6_plus:6.9.6
- cpe:/a:huawei:honor_6_plus:6.9.7
- cpe:/a:huawei:honor_6_plus:6.9.8
- cpe:/a:huawei:honor_6_plus:6.9.9
- cpe:/a:huawei:honor_6_plus:6.9.10
- cpe:/a:huawei:honor_6_plus:6.9.11
- cpe:/a:huawei:honor_6_plus:6.9.12
- cpe:/a:huawei:honor_6_plus:6.9.13
- cpe:/a:huawei:honor_6_plus:6.9.14
- cpe:/a:huawei:honor_6_plus:6.9.15
- cpe:/a:huawei:honor_7:6.9.0
- cpe:/a:huawei:honor_7:6.9.1
- cpe:/a:huawei:honor_7:6.9.2
- cpe:/a:huawei:honor_7:6.9.3
- cpe:/a:huawei:honor_7:6.9.4
- cpe:/a:huawei:honor_7:6.9.5
- cpe:/a:huawei:honor_7:6.9.6
- cpe:/a:huawei:honor_7:6.9.7
- cpe:/a:huawei:honor_7:6.9.8
- cpe:/a:huawei:honor_7:6.9.9
- cpe:/a:huawei:honor_7:6.9.10
- cpe:/a:huawei:honor_7:6.9.11
- cpe:/a:huawei:honor_7:6.9.12
- cpe:/a:huawei:honor_7:6.9.13
- cpe:/a:huawei:honor_7:6.9.14
- cpe:/a:huawei:honor_7:6.9.15
Exploiting
Klasse: Erweiterte Rechte (CWE-269)Lokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Honor 6/Honor 6 Plus/Honor 7 6.9.16
Timeline
18.10.2016 CVE zugewiesen02.04.2017 Advisory veröffentlicht
03.04.2017 VulDB Eintrag erstellt
03.04.2017 VulDB letzte Aktualisierung
Quellen
Advisory: huawei.comCVE: CVE-2016-8768 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 03.04.2017Eintrag: 69.2% komplett
...
https://vuldb.com/de/?id.99206
