华为 EMUI/Magic UI 安全更新 2022年10月
华为正在发布主要旗舰机型的月度安全维护版本。本次安全更新软件包含三方库补丁和华为补丁:
本次安全更新软件包含如下三方库补丁:
2022年9月Android 安全公告CVE:
严重:无
高:CVE-2022-20395,CVE-2022-22822,CVE-2022-23852,CVE-2022-23990,CVE-2022-25314,CVE-2022-25704,CVE-2022-22095,CVE-2021-0697,CVE-2021-0871,CVE-2021-0942,CVE-2021-0943,CVE-2022-25670
中:CVE-2022-28388,CVE-2022-20254,CVE-2022-20268,CVE-2022-20274,CVE-2022-20308,CVE-2022-20325,CVE-2022-20331
低:无
包含在之前的公告中:CVE-2022-20361,CVE-2022-20082,CVE-2022-20081,CVE-2021-39765,CVE-2022-25657,CVE-2022-22082,CVE-2022-22083,CVE-2022-22084,CVE-2022-22085,CVE-2022-22086,CVE-2022-22087,CVE-2021-0698,CVE-2021-0887,CVE-2021-0891,CVE-2021-0946,CVE-2021-0947,CVE-2021-39815,CVE-2022-20122
※ 有关修补程序的详细信息,请参阅 Android 安全公告(https://source.android.com/security/bulletin)。
本次安全更新软件包含如下华为补丁:
CVE-2021-40017:HW_KEYMASTER模块存在未对密钥格式做合法性校验的漏洞
严重程度:严重
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:成功利用这个漏洞可能导致越界访问。
CVE-2021-46839:HW_KEYMASTER 模块存在缺少长度检查的漏洞
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:攻击者能通过构造恶意数据,造成越界访问。
CVE-2021-46840:HW_KEYMASTER 模块参数集校验越界访问漏洞
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:攻击者能通过构造恶意数据,造成越界访问。
CVE-2022-38983:BT Hfp Client 模块存在UAF漏洞
严重程度:高
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:成功利用此漏洞可能导致任意代码执行。
CVE-2022-38984:HIPP模块存在对内核态传递数据未进行校验漏洞
严重程度:中
影响版本:EMUI 12.0.0
影响:成功利用这个漏洞会导致越界读,影响机密性。
致谢:闻观行
CVE-2022-38985:人脸识别模块存在输入验证类漏洞
严重程度:中
影响版本:EMUI 12.0.0
影响:成功利用该漏洞会导致机密性受影响。
CVE-2022-38986:HIPP模块存在对内核态传递的数据绕过检查漏洞
严重程度:严重
影响版本:EMUI 12.0.0
影响:成功利用这个漏洞会导致HIPP越界访问风险、页表被篡改风险,影响设备的机密性和可用性。
致谢:闻观行
CVE-2022-38998:HISP模块存在对内核态传递数据未进行校验漏洞
严重程度:中
影响版本:EMUI 12.0.0
影响:成功利用这个漏洞会导致越界读,影响机密性。
致谢:闻观行
CVE-2022-39011:HISP模块存在对内核态传递的数据绕过检查漏洞
严重程度:中
影响版本:EMUI 12.0.0
影响:成功利用这个漏洞会导致HISP模块存在越权访问风险。
致谢:闻观行
CVE-2022-41576:rphone模块中存在一个可以被恶意修改的脚本的漏洞
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:攻击者成功利用这个漏洞会导致用户设备被植入不可逆程序。
CVE-2022-41577:内核未对用户态传递数据进行长度校验的漏洞
严重程度:中
影响版本:EMUI 12.0.0
影响:可能导致出现内核侧读取越界,影响设备的机密性和可用性。
CVE-2022-41578:mptcp模块存在越界写漏洞
严重程度:高
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:成功利用这个漏洞会导致攻击程序可以修改程序信息以实现root提权攻击。
CVE-2022-41580:HW_KEYMASTER 模块对读取的内容缺少校验的漏洞
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:攻击者能通过构造恶意数据,造成越界访问。
CVE-2022-41581:HW_KEYMASTER 模块对读取的内容缺少校验的漏洞
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:攻击者能通过构造恶意数据,造成越界访问。
CVE-2022-41582:安全组件模块存在配置缺陷
严重程度:高
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:成功利用该漏洞可能导致可用性受影响。
CVE-2022-41583:存储维测模块存在数组读越界漏洞
严重程度:中
影响版本:EMUI 12.0.0
影响:成功利用这个漏洞会导致存储维测模块部分统计数据异常。
CVE-2022-41584:kernel模块存在越界读取漏洞
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:成功利用此漏洞可能导致内存越界。
CVE-2022-41585:kernel模块存在越界读取漏洞
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:成功利用此漏洞可能导致内存越界。
CVE-2022-41586:通信框架组件存在数据未截断漏洞
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:成功利用该漏洞会导致机密性受影响。
CVE-2022-41587:手机桌面存在未捕获的异常漏洞
严重程度:中
影响版本:EMUI 11.0.1
影响:成功利用这个漏洞可能导致稳定性受影响。
CVE-2022-41588:桌面组件存在业务逻辑异常漏洞
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:成功利用这个漏洞可能导致完整性受影响。
CVE-2022-41589:方舟DFX回栈模块存在接口误用漏洞
严重程度:高
影响版本:EMUI 12.0.0
影响:成功利用该漏洞可以影响系统服务和设备可用性。
CVE-2022-41592:手机产品由于指纹TA可能存在堆溢出/越界读/空指针等问题
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:具备root权限的攻击者可以通过控制文件内容利用这个漏洞,导致指纹服务异常。
CVE-2022-41593:手机产品由于指纹TA可能存在堆溢出/越界读/空指针等问题
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:具备root权限的攻击者可以通过控制文件内容利用这个漏洞,导致指纹服务异常。
CVE-2022-41594:手机产品由于指纹TA可能存在堆溢出/越界读/空指针等问题
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:具备root权限的攻击者可以通过控制文件内容利用这个漏洞,导致指纹服务异常。
CVE-2022-41595:手机产品由于指纹TA可能存在堆溢出/越界读/空指针等问题
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:具备root权限的攻击者可以通过控制文件内容利用这个漏洞,导致指纹服务异常。
CVE-2022-41597:手机产品由于指纹TA可能存在堆溢出/越界读/空指针等问题
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:具备root权限的攻击者可以通过控制文件内容利用这个漏洞,导致指纹服务异常。
CVE-2022-41598:手机产品由于指纹TA可能存在堆溢出/越界读/空指针等问题
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:具备root权限的攻击者可以通过控制文件内容利用这个漏洞,导致指纹服务异常。
CVE-2022-41600:手机产品由于指纹TA可能存在堆溢出/越界读/空指针等问题
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:具备root权限的攻击者可以通过控制文件内容利用这个漏洞,导致指纹服务异常。
CVE-2022-41601:手机产品由于指纹TA可能存在堆溢出/越界读/空指针等问题
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:具备root权限的攻击者可以通过控制文件内容利用这个漏洞,导致指纹服务异常。
CVE-2022-41602:手机产品由于指纹TA可能存在堆溢出/越界读/空指针等问题
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:具备root权限的攻击者可以通过控制文件内容利用这个漏洞,导致指纹服务异常。
CVE-2022-41603:手机产品由于指纹TA可能存在堆溢出/越界读/空指针等问题
严重程度:中
影响版本:EMUI 12.0.0,EMUI 11.0.1
影响:具备root权限的攻击者可以通过控制文件内容利用这个漏洞,导致指纹服务异常。
- cn