华为 EMUI/Magic UI 安全更新 2021年7月
华为正在发布主要旗舰机型的月度安全维护版本。本次安全更新软件包含Android补丁和华为补丁:
本次安全更新软件包含 Android 安全公告中的 CVE:
严重:无
高: CVE-2021-0599,CVE-2020-0417,CVE-2021-0586,CVE-2021-0587,CVE-2021-0588,CVE-2021-0589,CVE-2021-0590,CVE-2021-0594,CVE-2021-0596,CVE-2021-0597,CVE-2021-0486,CVE-2021-0600,CVE-2021-0601,CVE-2021-0604,CVE-2021-0603,CVE-2021-1931,CVE-2021-1955,CVE-2020-26555,CVE-2020-26558,CVE-2021-0478,CVE-2021-0512,CVE-2020-11267,CVE-2020-14305
中:CVE-2020-27170,CVE-2020-27171,CVE-2021-0534,CVE-2021-0535,CVE-2021-0537,CVE-2021-0538,CVE-2021-0539,CVE-2021-0541,CVE-2021-0542,CVE-2021-0544,CVE-2021-0545,CVE-2021-0546,CVE-2021-0547,CVE-2021-0548,CVE-2021-0549,CVE-2021-0553,CVE-2021-0555,CVE-2021-0556,CVE-2021-0557,CVE-2021-0558,CVE-2021-0559,CVE-2021-0561,CVE-2021-0562,CVE-2021-0564,CVE-2021-0567,CVE-2021-0569,CVE-2021-0570,CVE-2021-0572,CVE-2021-0606,CVE-2021-0605
低:无
包含在之前的公告中:CVE-2020-0267,CVE-2020-0265,CVE-2020-1971,CVE-2021-0563,CVE-2021-0368,CVE-2020-11254,CVE-2020-11293,CVE-2020-11279,CVE-2020-11285,CVE-2020-11289,CVE-2020-11294,CVE-2021-1910,CVE-2019-9426,CVE-2020-26558,CVE-2020-26555,CVE-2021-0536,CVE-2021-0529,CVE-2021-0530,CVE-2021-0526,CVE-2021-0532,CVE-2021-0533,CVE-2021-0525,CVE-2021-0527,CVE-2021-0528,CVE-2021-0531
※有关修补程序的详细信息,请参阅 Android 安全公告(https://source.android.com/security/bulletin)。
本次安全更新软件包含如下华为补丁:
CVE-2021-22460:华为部分手机存在绕过开机启动限制
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22388:华为部分产品存在数组越界访问漏洞
严重程度:中
影响版本:EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:漏洞被成功利用后,可能导致代码执行。
CVE-2021-36999:华为部分产品存在缓冲区溢出类型的漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:攻击者可以通过发送恶意构造图片并引导用户打开的方式利用这个漏洞,成功利用该漏洞可能导致远程代码执行。
CVE-2021-36998:部分产品存在校验不当漏洞
严重程度:低
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:成功利用这个漏洞可能导致读数组越界问题。
CVE-2021-36997:华为部分产品由于没有限制解析图片大小而导致触发低内存的漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致图库或文件管理应用闪退。
致谢:信息工程大学漏洞分析实验室的冯昭阳,魏强
CVE-2021-36996:华为部分产品存在校验不当漏洞
严重程度:低
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:成功利用这个漏洞可能导致部分虚拟信息传递。
CVE-2021-36995:华为部分手机存在文件越权访问漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可以通过修改软链接进行备份恢复文件的篡改。
CVE-2021-36994:华为部分产品由于竞争条件存在同一个白名单字串重复插入链表的安全漏洞
严重程度:低
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞会导致系统白名单管理出现异常。
CVE-2021-36993:华为部分手机存在内存泄漏漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致可用性受影响。
CVE-2021-36992:华为部分手机存在公钥验证漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-36991:华为部分产品由于没有对外部输入路径进行规范化存在文件越权访问的漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可以通过恶意构造文件路径进行文件的越权访问。
CVE-2021-36990:华为部分手机存在内核篡改漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可以提权。
CVE-2021-36989:华为部分手机存在内核Crash漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可以提权。
CVE-2021-36988:华为部分手机存在参数校验问题
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞导致完整性受影响。
CVE-2021-36987:华为部分产品由于竞争条件存在同一个链表节点多重释放的安全漏洞
严重程度:高
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞会导致系统重启。
CVE-2021-36986:华为部分手机存在内核篡改漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可以提权。
CVE-2021-36985:华为部分产品存在代码注入类型的漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞导致系统资源耗尽,系统重启。
CVE-2021-22491:华为部分产品存在输入验证类漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致可用性受影响。
CVE-2021-22490:华为部分手机存在权限校验漏洞
严重程度:低
影响版本:EMUI 11.0.0, EMUI 10.1.1, EMUI 10.1.0, Magic UI 4.0.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:成功利用这个漏洞可能导致设备的性能受影响。
CVE-2021-22488:华为部分手机存在文件越权访问漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可以通过修改软链接进行备份恢复文件的篡改。
CVE-2021-22487:华为部分手机存在越界读漏洞
严重程度:中
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:成功利用这个漏洞可能导致可用性受影响。
CVE-2021-22486:华为部分手机存在字段命名不合规漏洞
严重程度:高
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22485:华为所有产品连接WLAN的ssid漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
致谢:字节跳动无恒实验室团队的张清,夏光帅
CVE-2021-22483:华为部分手机存在伪造IP地址漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致业务拒绝服务。
CVE-2021-22482:华为部分产品存在变量未初始化漏洞
严重程度:低
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:成功利用这个漏洞可能导致无效数据传递。
CVE-2021-22481:华为部分手机存在校验错误漏洞
严重程度:中
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22475:华为部分手机存在权限管理不当漏洞
严重程度:低
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22474:华为部分手机存在内存越界访问
严重程度:中
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:成功利用这个漏洞可能导致进程异常。
致谢:闻观行
CVE-2021-22473:华为部分产品存在认证类漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 4.0.0, Magic UI 3.1.1, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22472:华为部分手机存在校验不当漏洞
严重程度:高
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22469:华为部分手机存在内存越界读漏洞
严重程度:中
影响版本:EMUI 10.1.1, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致内核崩溃。
CVE-2021-22455:华为部分产品中Aod驱动存在整数溢出漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可以提权root。
CVE-2021-22450:华为部分产品由于异常情况未释放内存,存在内存泄露的安全漏洞
严重程度:高
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞会导致系统内存资源耗尽,手机重启。
CVE-2021-22438:华为部分产品存在内存地址越界漏洞
严重程度:中
影响版本:EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:漏洞被成功利用后,可能导致恶意代码执行。
CVE-2021-22436:华为部分产品存在逻辑绕过漏洞
严重程度:高
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致完整性和可用性受影响。
CVE-2021-22435:华为部分产品存在逻辑绕过漏洞
严重程度:高
影响版本:EMUI 10.1.1, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致完整性和可用性受影响。
CVE-2021-22434:华为部分产品存在内存地址越界漏洞
严重程度:中
影响版本:EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:漏洞被成功利用后,可能导致恶意代码执行。
致谢:Lorant Szabo, TASZK Security Labs
CVE-2021-22433:华为部分产品存在内存地址越界漏洞
严重程度:中
影响版本:EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:漏洞被成功利用后,可能导致恶意代码执行。
致谢:Daniel Komaromy and Lorant Szabo, TASZK Security Labs
CVE-2021-22432:华为部分产品存在权限隔离配置漏洞
严重程度:高
影响版本:EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:漏洞被成功利用后,可能导致越界访问。
致谢:Lorant Szabo, TASZK Security Labs
CVE-2021-22431:华为部分产品存在权限隔离配置漏洞
严重程度:中
影响版本:EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:漏洞被成功利用后,可能导致越界访问。
致谢:Daniel Komaromy and Gyorgy Miru, TASZK Security Labs
CVE-2021-22429:华为部分产品存在内存地址越界漏洞
严重程度:高
影响版本:EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:漏洞被成功利用后,可能导致恶意代码执行。
致谢:Daniel Komaromy and Lorant Szabo, TASZK Security Labs
CVE-2021-22426:华为部分产品存在内存地址越界漏洞
严重程度:中
影响版本:EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:漏洞被成功利用后,可能导致恶意代码执行。
致谢:Daniel Komaromy and Lorant Szabo, TASZK Security Labs
CVE-2021-22425:华为部分产品由于竞争条件存在同一个链表节点多重释放的安全漏洞
严重程度:高
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞会导致系统重启。
CVE-2021-22423:华为部分产品中Aod驱动存在整数溢出漏洞
严重程度:高
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可以提权root。
CVE-2021-22422:华为部分产品中Aod驱动存在整数溢出漏洞
严重程度:高
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可以提权root。
CVE-2021-22419:华为部分产品存在外部apk启动校验的漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用该漏洞可能导致仿冒apk自动运行。
CVE-2021-22418:华为部分产品中Aod驱动存在整数溢出漏洞
严重程度:高
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可以提权root。
CVE-2021-22417:华为部分手机存在内存泄漏和越界访问
严重程度:高
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可以提权root。
CVE-2021-22415:华为部分产品存在拒绝服务漏洞
严重程度:中
影响版本:EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:漏洞被成功利用后,可能导致代码内核异常。
CVE-2021-22412:华为部分产品存在地址越界访问漏洞
严重程度:中
影响版本:EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:成功利用这个漏洞可能会导致内核任意地址访问。
CVE-2021-22407:华为手机助手产品由于连接时未对Server端进行身份校验,存在身份校验漏洞
严重程度:低
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22406:畅连app存在远程DOS漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 4.0.0, Magic UI 3.1.1, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
影响:成功利用这个漏洞会造成应用闪退问题。
CVE-2021-22405:华为部分手机存在配置缺陷漏洞
严重程度:中
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:成功利用这个漏洞可能导致可用性受影响。
CVE-2021-22404:华为手机存在目录遍历漏洞
严重程度:低
影响版本:EMUI 11.0.0, EMUI 10.1.1, EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 4.0.0, Magic UI 3.1.1, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22403:华为部分手机存在劫持未验证的Provider漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 4.0.0, Magic UI 3.1.1, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
影响:成功利用这个漏洞会被攻击应用劫持,伪造界面进行钓鱼,执行恶意指令等。
CVE-2021-22402:华为部分手机存在DOS漏洞
严重程度:高
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:成功利用这个漏洞导致拒绝服务攻击。
CVE-2021-22401:华为部分手机存在远程DOS漏洞
严重程度:高
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:成功利用这个漏洞导致完整性受影响。
CVE-2021-22395:华为部分产品存在代码注入类型的漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, EMUI 10.1.0, Magic UI 4.0.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22394:华为部分产品存在缓冲区溢出类型的漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, EMUI 10.1.0, Magic UI 4.0.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:成功利用该漏洞,可以对多屏协同应用形成Dos攻击。
CVE-2021-22390:华为部分产品存在UAF漏洞
严重程度:中
影响版本:EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:漏洞被成功利用后,可能导致代码执行。
CVE-2021-22389:华为部分产品存在内核地址被改写漏洞
严重程度:中
影响版本:EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
影响:漏洞被成功利用后,可能导致代码执行。
CVE-2021-37001:华为部分产品存在寄存器被改写漏洞
严重程度:高
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:漏洞被成功利用后,可能导致寄存器值被改写。
CVE-2021-37002:华为部分产品存在内存地址越界访问的漏洞
严重程度:高
影响版本:EMUI 11.0.0, Magic UI 4.0.0
影响:漏洞被成功利用后,可能导致恶意代码执行。
CVE-2021-22367:华为部分产品存在逻辑绕过漏洞
严重程度:高
影响版本:EMUI 10.1.1, EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.1, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
影响:成功利用这个漏洞可能导致绕过鉴权。
CVE-2021-37027:华为部分产品存在DOS漏洞
严重程度:中
影响版本:EMUI 11.0.0, EMUI 10.1.1, EMUI 10.0.0, Magic UI 4.0.0, Magic UI 3.1.1, Magic UI 3.0.0
影响:成功利用这个漏洞可能导致完整性受影响。
CVE-2021-37009:部分华为产品系统组件存在多用户设置问题漏洞
严重程度:高
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-33909:华为部分产品文件系统组件存在特权升级的漏洞
严重程度:高
影响版本:EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
- cn