ipfs算力出租(www.ipfs8.vip):Huawei无线上网卡权限提升破绽

Trustwave平安研究职员发现华为USB LTE dongle中存在权限提升平安破绽。

6月2日,Trustwave平安研究职员宣布了华为USB LTE E3372无线上网卡中的一个权限提升破绽。USB无线上网卡是一个可以插入条记本或台式机来毗邻互联网的硬件装备。Trustwave研究职员在剖析华为LTE装备驱动时,发现存在欠妥的权限问题。

华为LTE 驱动以更大权限自动运行

研究职员剖析发现,每当USB无线网卡插入后,装备就会自动运行以下文件:

/Library/StartupItems/MobileBrServ/mbbserviceopen.app/Contents/MacOS/mbbserviceopen

在插入无线网卡后,该文件会用web浏览器打开华为的装备治理接口。此外,mbbserviceopen文件是以更大权限(777)运行的:

,

欧博手机版下载

欢迎进入欧博手机版下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe *** 、Allbet电脑客户端、Allbet手机版下载等业务。

,

恶意用户或攻击者只需要将该文件替换为恶意代码,然后守候正当用户使用通过华为的无线上网卡装备毗邻 *** 就可以了。

该破绽的行使需要恶意用户或攻击者修改文件,以是攻击者需要能够接触到盘算机并替换该文件才气够行使该破绽实现内陆权限提升。

华为回应

华为已经确认修复了该破绽,并在官网给出了关于该破绽的平安指南。该破绽修复的方式是为"mbbserviceopen"设置合适的权限:

凭证华为的平安通告,E3372用户可以从华为官网获取"Hi Link" 驱动文件来修复该平安破绽。更多参见:https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20210602-01-permission-en

Trustware研究职员剖析文章参见:https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/huawei-lte-u *** -stick-e3372-file-overwrite-to-code-execution/

本文翻译自:https://www.bleepingcomputer.com/news/security/huawei-u *** -lte-dongles-are-vulnerable-to-privilege-escalation-attacks/

FiLecoin官网

FiLecoin官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。