近日,国家信息安全漏洞共享平台CNVD收录了深圳市益光实业有限公司生产平板电脑主板YG-A-777存在的一个固件后门漏洞(CNVD编号:CNVD-2013-25777),攻击者利用漏洞可以取得用户终端设备的控制权,构成信息泄露和运行安全风险。具体情况通报如下:
一、漏洞情况分析
平板电脑主板YG-A-777是由深圳市益光实业有限公司开发的硬件产品。该产品的固件中存在一个su后门文件,通过调试工具可以在无授权验证的情况下直接调用该后门文件,获取固件系统最高权限(root权限)。恶意攻击者可利用漏洞进一步在平板电脑上植入恶意应用程序,窃取用户信息或控制终端设备。
二、漏洞影响范围
CNVD对漏洞的综合评级为“高危”。一些国内外平板电脑厂商采用YG-A-777产品集成在其平板电脑成品中。根据初步测试结果,深圳市盈科创展科技有限公司生产的神行者平板电脑PD10(TCC8923方案版)和K700L以及韩国现代数码公司生产的A7 ART等平板电脑产品存在所述漏洞。
三、漏洞处置建议
CNVD于6月6日向深圳市益光实业有限公司通报了漏洞信息,但该公司未能对通报的漏洞信息进行积极响应,也未能按CNVD处置流程要求明确漏洞修补时间以及做好客户应急服务的计划。处置建议如下:
(一)建议采用YG-A-777产品的国内外相关厂商及时联系深圳市益光实业有限公司,要求提供解决方案,也可自行在固件中查找并删除后门文件。
(二)购买对应型号平板电脑的用户可向生产厂商询问漏洞情况。
CNVD将持续跟踪漏洞处置情况,如需技术支援,请联系CNVD。联系电话:010-82990286,邮箱:vreport@cert.org.cn,网站:www.cnvd.org.cn。
注:漏洞安全研究者horseluke提供了验证信息。