Aggiornamenti di sicurezza HUAWEI EMUI/Magic UI Settembre 2021
HUAWEI rilascia aggiornamenti di sicurezza mensili per i modelli di punta. Questo aggiornamento di sicurezza include patch Android e HUAWEI.
Questo aggiornamento di sicurezza include il CVE annunciato nel bollettino sulla sicurezza di Android.
Grave: CVE-2021-1976, CVE-2021-1972
Alto: CVE-2021-0591, CVE-2021-0593, CVE-2021-0640, CVE-2021-0641, CVE-2021-0642, CVE-2021-0646, CVE-2021-0584, CVE-2021-1939, CVE-2021-1947, CVE-2021-1904, CVE-2021-1978, CVE-2021-0579, CVE-2021-0580, CVE-2021-0581, CVE-2021-0582, CVE-2021-0578
Medio: nessuno
Basso: nessuno
Già inclusi negli aggiornamenti precedenti: CVE-2019-9239, CVE-2019-9238, CVE-2019-9309, CVE-2021-1965, CVE-2021-1943, CVE-2021-1945, CVE-2021-1954, CVE-2021-1964
※ Per ulteriori informazioni sulle patch di sicurezza, fai riferimento ai bollettini sulla sicurezza di Android (https://source.android.com/security/bulletin).
Questo aggiornamento di sicurezza include le seguenti patch HUAWEI:
CVE-2021-22450: perdite di memoria in alcuni dispositivi HUAWEI a causa di eccezioni durante la liberazione della memoria
Gravità: Alta
Versioni interessate: EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità esaurirà le risorse della memoria di sistema e causerà il riavvio del dispositivo.
CVE-2021-22323: perdite di memoria e vulnerabilità di accesso non compreso nell'intervallo in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
Impatto: lo sfruttamento corretto di queste vulnerabilità può riassegnare l'autorizzazione a quella dell'utente root.
CVE-2021-37051: vulnerabilità che comporta la lettura fuori campo in alcuni telefoni HUAWEI
Gravità: Media
Versioni interessate: EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare l'accesso fuori campo alla memoria.
CVE-2021-37050: vulnerabilità relativa che comporta la mancanza di crittografia dei dati sensibili in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può avere ripercussioni sulla riservatezza del servizio.
CVE-2021-37049: vulnerabilità che comporta l'overflow del buffer basato sullo heap in alcuni telefoni HUAWEI
Gravità: Media
Versioni interessate: EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare la riscrittura della memoria di oggetti adiacenti.
CVE-2021-37047: vulnerabilità della verifica in entrata in alcuni telefoni HUAWEI
Gravità: Bassa
Versioni interessate: EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare il riavvio di alcuni servizi.
CVE-2021-37046: vulnerabilità che comporta la perdita di memoria con il modulo di rilevamento del codec in alcuni dispositivi HUAWEI
Gravità: Media
Versioni interessate: EMUI 11.0.0, Magic UI 4.0.0
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare il riavvio del dispositivo a causa dell'esaurimento della memoria.
CVE-2021-37045: vulnerabilità UAF in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.0, Magic UI 3.1.0
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare il riavvio improvviso del dispositivo e l'esecuzione del codice modalità kernel.
CVE-2021-37044: vulnerabilità di verifica autorizzazione in alcuni dispositivi HUAWEI
Gravità: Media
Versioni interessate: EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può avere ripercussioni sulla disponibilità del servizio.
CVE-2021-37040: vulnerabilità di aggiunta parametro in alcuni telefoni HUAWEI
Gravità: Media
Versioni interessate: EMUI 11.0.0, Magic UI 4.0.0
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare l'escalation dei privilegi dei file dopo il montaggio di CIFS share.
CVE-2021-37039: vulnerabilità della verifica in entrata in alcuni telefoni HUAWEI
Gravità: Media
Versioni interessate: EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare Bluetooth DoS.
CVE-2021-37038: vulnerabilità di verifica accesso improprio in alcuni dispositivi HUAWEI
Gravità: Media
Versioni interessate: EMUI 10.1.1, Magic UI 3.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può avere ripercussioni sulla riservatezza del servizio.
CVE-2021-37037: vulnerabilità che comporta l'invalidità dell'accesso all'indirizzo in alcuni dispositivi HUAWEI
Gravità: Media
Versioni interessate: EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare il riavvio del dispositivo.
CVE-2021-37027: vulnerabilità DoS in alcuni dispositivi HUAWEI
Gravità: Media
Versioni interessate: EMUI 10.1.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 2.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può influire sull'integrità del servizio.
CVE-2021-37013: vulnerabilità relativa al controllo dell'autorizzazione con l'API setHdbKey in HwPackageManagerServiceEx in alcuni dispositivi EMUI
Gravità: Bassa
Versioni interessate: EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può avere ripercussioni sulla disponibilità del servizio.
CVE-2021-37009: Vairāku lietotāju iestatījumu ievainojamība sistēmas komponentos dažās HUAWEI ierīcēs
Gravità: Alta
Versioni interessate: EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità può compromettere la riservatezza del servizio.
CVE-2021-37000: vulnerabilità della gestione delle autorizzazioni impropria in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 11.0.0, Magic UI 4.0.0
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità può compromettere la riservatezza del servizio.
CVE-2021-36987: i nodi nell'elenco collegato sono in corso di liberazione più volte in alcuni dispositivi HUAWEI a causa di race condition
Gravità: Alta
Versioni interessate: EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità può causare il riavvio del sistema.
CVE-2021-3506: vulnerabilità che comporta l'operazione fuori campo dopo il rooting in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 11.0.0, Magic UI 4.0.0
Impatto: lo sfruttamento corretto di questa vulnerabilità può avere ripercussioni sulla stabilità e l'integrità del servizio.
CVE-2021-33909: Tiesību piesavināšanās ievainojamība failu sistēmas komponentos dažās HUAWEI ierīcēs
Gravità: Alta
Versioni interessate: EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità può compromettere la riservatezza del servizio.
CVE-2021-22486: nomi dei campi non standardizzati in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità può compromettere la riservatezza del servizio.
CVE-2021-37052: vulnerabilità del registro eccezioni in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare la perdita di informazioni dell'indirizzo.
CVE-2021-22437: l'overflow di numeri interi del software che causa una condizione TOCTOU in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare l'accesso all'indirizzo casuale.
CVE-2021-22436: vulnerabilità di bypass logico in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può influire su integrità e disponibilità del servizio.
CVE-2021-22435: vulnerabilità di bypass logico in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può influire su riservatezza, disponibilità e integrità del servizio.
CVE-2021-22434: Vulnerabilità di indirizzo di memoria fuori dai limiti in alcuni telefoni HUAWEI
Gravità: Media
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
Impatto: lo sfruttamento riuscito di questa vulnerabilità può comportare l’esecuzione di codice dannoso.
Acknowledgment: Lorant Szabo, TASZK Security Labs
CVE-2021-22432: Vulnerabilità durante la configurazione dell'isolamento delle autorizzazioni in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
Impatto: lo sfruttamento riuscito di questa vulnerabilità può causare un accesso fuori dai limiti.
Acknowledgment: Lorant Szabo, TASZK Security Labs
CVE-2021-22431: Vulnerabilità durante la configurazione dell'isolamento delle autorizzazioni in alcuni telefoni HUAWEI
Gravità: Media
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
Impatto: lo sfruttamento riuscito di questa vulnerabilità può causare un accesso fuori dai limiti.
Acknowledgment: Daniel Komaromy and Gyorgy Miru, TASZK Security Labs
CVE-2021-22425: i nodi nell'elenco collegato sono in corso di liberazione più volte in alcuni dispositivi HUAWEI a causa di race condition
Gravità: Alta
Versioni interessate: EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità può causare il riavvio del sistema.
CVE-2021-22423: vulnerabilità che comporta l'overflow di numeri interi con il driver Display sempre attivo (AOD) in alcuni dispositivi HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità può riassegnare l'autorizzazione a quella dell'utente root.
CVE-2021-22422: vulnerabilità che comporta l'overflow di numeri interi con il driver Display sempre attivo (AOD) in alcuni dispositivi HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità può riassegnare l'autorizzazione a quella dell'utente root.
CVE-2021-22418: vulnerabilità che comporta l'overflow di numeri interi con il driver Display sempre attivo (AOD) in alcuni dispositivi HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità può riassegnare l'autorizzazione a quella dell'utente root.
CVE-2021-22376: vulnerabilità di bypass logico in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può influire su riservatezza, disponibilità e integrità del servizio.
CVE-2021-22372: vulnerabilità di bypass logico in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità può compromettere la riservatezza del servizio.
CVE-2021-22371: permesso di cattura arbitraria di stack di chiamate in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
Impatto: lo sfruttamento corretto di questa vulnerabilità può influire sulla riservatezza del servizio.
CVE-2021-22370: vulnerabilità di verifica impropria in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità può compromettere la riservatezza del servizio.
CVE-2021-22369: perdite di memoria e vulnerabilità di accesso non compreso nell'intervallo in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
Impatto: lo sfruttamento corretto di queste vulnerabilità può riassegnare l'autorizzazione a quella dell'utente root.
CVE-2021-22368: vulnerabilità di controllo degli accessi in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.0.0, Magic UI 3.0.0
Impatto: lo sfruttamento corretto di questa vulnerabilità può influire sul normale utilizzo del dispositivo.
CVE-2021-22346: vulnerabilità di gestione impropria delle autorizzazioni in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare la divulgazione delle abitudini degli utenti.
Acknowledgment: Zhang Qing, WuHeng Lab of Bytedance
CVE-2021-22343: vulnerabilità di bypass logico in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può influire su integrità e disponibilità del servizio.
CVE-2021-22334: vulnerabilità di costruzione Wi-Fi dannosa in alcuni telefoni HUAWEI
Gravità: Media
Versioni interessate: EMUI 10.1.0, Magic UI 3.1.0
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare reindirizzamenti di app.
CVE-2021-22325: vulnerabilità dello streaming video in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, Magic UI 3.1.1, Magic UI 3.1.0
Impatto: lo sfruttamento corretto di questa vulnerabilità può causare l'intercettazione di streaming video durante le proiezioni cablate.
Acknowledgment: Lu Hongyi, Wu Yechang, Li Shuqing, Lin You, Zhang Chaozu, and Zhang Fengwei, COMPASS Lab of Southern University of Science and Technology
CVE-2021-37054: vulnerabilità di bypass dello spoof di identità e della autenticazione in alcuni telefoni HUAWEI
Gravità: Media
Versioni interessate: EMUI 10.1.1, Magic UI 3.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può avere ripercussioni sulla riservatezza del servizio.
CVE-2021-37055: vulnerabilità di bypass logico in alcuni dispositivi HUAWEI
Gravità: Media
Versioni interessate: EMUI 11.0.0, EMUI 10.1.1, Magic UI 4.0.0, Magic UI 3.1.1
Impatto: lo sfruttamento corretto di questa vulnerabilità può consentire dei tentativi per ottenere determinate informazioni sul dispositivo.
Acknowledgment: Zhang Qing, WuHeng Lab of Bytedance
CVE-2021-22322: vulnerabilità di bypass logico in alcuni telefoni HUAWEI
Gravità: Alta
Versioni interessate: EMUI 10.1.1, EMUI 10.1.0, EMUI 10.0.0, EMUI 9.1.1, EMUI 9.1.0, Magic UI 3.1.1, Magic UI 3.1.0, Magic UI 3.0.0, Magic UI 2.1.1
Impatto: uno sfruttamento andato a buon fine di questa vulnerabilità può compromettere la riservatezza del servizio.