华为正在全力推进HarmonyOS鸿蒙系统的现有设备更新升级,同时也没有忘记EMUI、MagicUI,尤其是在安全方面。
华为今天发布了2021年7月安全公告,EMUI华为手机、MagicUI荣耀手机一口气修复了多达98个安全漏洞。
其中,Android漏洞有49个,包括21个高危级别、28个中等级别,华为漏洞也有49个,包括15个高危级别、26个中等级别、8个低级别。
影响系统版本包括EMUI 11.0.0、EMUI 10.1.1、EMUI 10.1.0、EMUI 10.0.0、EMUI 9.1.1、EMUI 9.1.0、MagicUI 3.1.1、MagicUI 3.1.0、MagicUI 3.0.0、MagicUI 2.1.1。
受支持的华为、荣耀手机将陆续得到本月安全更新推送,可留意系统更新提醒。
严重:无
高:CVE-2021-0599、CVE-2020-0417、CVE-2021-0585、CVE-2021-0586、CVE-2021-0587、CVE-2021-0588、CVE-2021-0589、CVE-2021-0590、CVE-2021-0594、CVE-2021-0596、CVE-2021-0597、CVE-2021-0486、CVE-2021-0600、CVE-2021-0601、CVE-2021-0602、CVE-2021-0604、CVE-2021-0441、CVE-2021-0478、CVE-2021-0512、CVE-2020-11267、CVE-2020-14305
中:CVE-2021-0534、CVE-2021-0535、CVE-2021-0537、CVE-2021-0538、CVE-2021-0539、CVE-2021-0541、CVE-2021-0542、CVE-2021-0544、CVE-2021-0545、CVE-2021-0546、CVE-2021-0547、CVE-2021-0548、CVE-2021-0549、CVE-2021-0553、CVE-2021-0555、CVE-2021-0556、CVE-2021-0557、CVE-2021-0558、CVE-2021-0559、CVE-2021-0561、CVE-2021-0562、CVE-2021-0564、CVE-2021-0567、CVE-2021-0569、CVE-2021-0570、CVE-2021-0572、CVE-2021-0606、CVE-2021-0605
低:无
包含在之前的公告中:CVE-2020-0267、CVE-2020-0478、CVE-2021-0489、CVE-2021-0490、CVE-2021-0491、CVE-2021-0492、CVE-2021-0493、CVE-2021-0494、CVE-2021-0495、CVE-2021-0496、CVE-2021-0497、CVE-2021-0498、CVE-2021-0571、CVE-2020-1971、CVE-2021-0563、CVE-2021-0513、CVE-2021-0368、CVE-2021-0536、CVE-2021-0529、CVE-2021-0530、CVE-2021-0526、CVE-2021-0532、CVE-2021-0533、CVE-2021-0525、CVE-2021-0527、CVE-2021-0528、CVE-2021-0531
CVE-2021-22475:华为部分手机存在权限管理不当漏洞
严重程度:低
影响版本:EMUI 11.0.0、Magic UI 4.0.0
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22394:华为部分产品存在缓冲区溢出类型的漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、EMUI 10.1.0、Magic UI 4.0.0、Magic UI 3.1.1、Magic UI 3.1.0
影响:成功利用该漏洞,可以对多屏协同应用形成Dos攻击。
CVE-2021-36997:华为部分产品由于没有限制解析图片大小而导致触发低内存的漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可能导致图库或文件管理应用闪退。
CVE-2021-36996:华为部分产品存在校验不当漏洞
严重程度:低
影响版本:EMUI 11.0.0、Magic UI 4.0.0
影响:成功利用这个漏洞可能导致部分虚拟信息传递。
CVE-2021-36995:华为部分手机存在文件越权访问漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可以通过修改软链接进行备份恢复文件的篡改。
CVE-2021-36994:华为部分产品由于竞争条件存在同一个白名单字串重复插入链表的安全漏洞
严重程度:低
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞会导致系统白名单管理出现异常。
CVE-2021-36993:华为部分手机存在内存泄漏漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可能导致可用性受影响。
CVE-2021-36992:华为部分手机存在公钥验证漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-36991:华为部分产品由于没有对外部输入路径进行规范化存在文件越权访问的漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可以通过恶意构造文件路径进行文件的越权访问。
CVE-2021-36990:华为部分手机存在内核篡改漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可以提权。
CVE-2021-36989:华为部分手机存在内核Crash漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可以提权。
CVE-2021-36988:华为部分手机存在参数校验问题
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞导致完整性受影响。
CVE-2021-36987:华为部分产品由于竞争条件存在同一个链表节点多重释放的安全漏洞
严重程度:高
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞会导致系统重启。
CVE-2021-36986:华为部分手机存在内核篡改漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可以提权。
CVE-2021-36985:华为部分产品存在代码注入类型的漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞导致系统资源耗尽,系统重启。
CVE-2021-22491:华为部分产品存在输入验证类漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可能导致可用性受影响。
CVE-2021-22490:华为部分手机存在权限校验漏洞
严重程度:低
影响版本:EMUI 11.0.0、EMUI 10.1.1、EMUI 10.1.0、Magic UI 4.0.0、Magic UI 3.1.1、Magic UI 3.1.0
影响:成功利用这个漏洞可能导致设备的性能受影响。
CVE-2021-22488:华为部分手机存在文件越权访问漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可以通过修改软链接进行备份恢复文件的篡改。
CVE-2021-22487:华为部分手机存在越界读漏洞
严重程度:中
影响版本:EMUI 11.0.0、Magic UI 4.0.0
影响:成功利用这个漏洞可能导致可用性受影响。
CVE-2021-22486:华为部分手机存在字段命名不合规漏洞
严重程度:高
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22485:华为所有产品连接WLAN的ssid漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22483:华为部分手机存在伪造IP地址漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可能导致业务拒绝服务。
CVE-2021-22482:华为部分产品存在变量未初始化漏洞
严重程度:低
影响版本:EMUI 11.0.0、Magic UI 4.0.0
影响:成功利用这个漏洞可能导致无效数据传递。
CVE-2021-36998:部分产品存在校验不当漏洞
严重程度:低
影响版本:EMUI 11.0.0、Magic UI 4.0.0
影响:成功利用这个漏洞可能导致读数组越界问题。
CVE-2021-22474:华为部分手机存在内存越界访问
严重程度:中
影响版本:EMUI 11.0.0、Magic UI 4.0.0
影响:成功利用这个漏洞可能导致进程异常。
CVE-2021-22473:华为部分产品存在认证类漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、EMUI 10.1.0、EMUI 10.0.0、EMUI 9.1.1、EMUI 9.1.0、Magic UI 4.0.0、Magic UI 3.1.1、Magic UI 3.1.0、Magic UI 3.0.0、Magic UI 2.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22472:华为部分手机存在校验不当漏洞
严重程度:高
影响版本:EMUI 11.0.0、Magic UI 4.0.0
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22460:华为部分手机存在绕过开机启动限制
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22455:华为部分产品中Aod驱动存在整数溢出漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可以提权root。
CVE-2021-22450:华为部分产品由于异常情况未释放内存,存在内存泄露的安全漏洞
严重程度:高
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞会导致系统内存资源耗尽,手机重启。
CVE-2021-22436:华为部分产品存在逻辑绕过漏洞
严重程度:高
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可能导致完整性和可用性受影响。
CVE-2021-22435:华为部分产品存在逻辑绕过漏洞
严重程度:高
影响版本:EMUI 10.1.1、Magic UI 3.1.1
影响:成功利用这个漏洞可能导致完整性和可用性受影响。
CVE-2021-22425:华为部分产品由于竞争条件存在同一个链表节点多重释放的安全漏洞
严重程度:高
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞会导致系统重启。
CVE-2021-22423:华为部分产品中Aod驱动存在整数溢出漏洞
严重程度:高
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可以提权root。
CVE-2021-22422:华为部分产品中Aod驱动存在整数溢出漏洞
严重程度:高
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可以提权root。
CVE-2021-22419:华为部分产品存在外部apk启动校验的漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用该漏洞可能导致仿冒apk自动运行。
CVE-2021-22418:华为部分产品中Aod驱动存在整数溢出漏洞
严重程度:高
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可以提权root。
CVE-2021-22417:华为部分手机存在内存泄漏和越界访问
严重程度:高
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:成功利用这个漏洞可以提权root。
CVE-2021-22407:华为手机助手产品由于连接时未对Server端进行身份校验,存在身份校验漏洞
严重程度:低
影响版本:EMUI 11.0.0、Magic UI 4.0.0
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22406:畅连app存在远程DOS漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、EMUI 10.1.0、EMUI 10.0.0、EMUI 9.1.1、EMUI 9.1.0、Magic UI 4.0.0、Magic UI 3.1.1、Magic UI 3.1.0、Magic UI 3.0.0、Magic UI 2.1.1
影响:成功利用这个漏洞会造成应用闪退问题。
CVE-2021-22405:华为部分手机存在配置缺陷漏洞
严重程度:中
影响版本:EMUI 11.0.0、Magic UI 4.0.0
影响:成功利用这个漏洞可能导致可用性受影响。
CVE-2021-22404:华为手机存在目录遍历漏洞
严重程度:低
影响版本:EMUI 11.0.0、EMUI 10.1.1、EMUI 10.1.0、EMUI 10.0.0、EMUI 9.1.1、EMUI 9.1.0、Magic UI 4.0.0、Magic UI 3.1.1、Magic UI 3.1.0、Magic UI 3.0.0、Magic UI 2.1.1
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22403:华为部分手机存在劫持未验证的Provider漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、EMUI 10.1.0、EMUI 10.0.0、EMUI 9.1.1、EMUI 9.1.0、Magic UI 4.0.0、Magic UI 3.1.1、Magic UI 3.1.0、Magic UI 3.0.0、Magic UI 2.1.1
影响:成功利用这个漏洞会被攻击应用劫持,伪造界面进行钓鱼,执行恶意指令等。
CVE-2021-22402:华为部分手机存在DOS漏洞
严重程度:高
影响版本:EMUI 11.0.0、Magic UI 4.0.0
影响:成功利用这个漏洞导致拒绝服务攻击。
CVE-2021-22401:华为部分手机存在远程DOS漏洞
严重程度:高
影响版本:EMUI 11.0.0、Magic UI 4.0.0
影响:成功利用这个漏洞导致完整性受影响。
CVE-2021-22395:华为部分产品存在代码注入类型的漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、EMUI 10.1.0、Magic UI 4.0.0、Magic UI 3.1.1、Magic UI 3.1.0
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-36999:华为部分产品存在缓冲区溢出类型的漏洞
严重程度:中
影响版本:EMUI 11.0.0、EMUI 10.1.1、Magic UI 4.0.0、Magic UI 3.1.1
影响:攻击者可以通过发送恶意构造图片并引导用户打开的方式利用这个漏洞,成功利用该漏洞可能导致远程代码执行。
CVE-2021-37000:华为部分手机存在权限管理不当漏洞
严重程度:高
影响版本:EMUI 11.0.0、Magic UI 4.0.0
影响:成功利用这个漏洞可能导致机密性受影响。
CVE-2021-22367:华为部分产品存在逻辑绕过漏洞
严重程度:高
影响版本:EMUI 10.1.1、EMUI 10.1.0、EMUI 10.0.0、EMUI 9.1.1、EMUI 9.1.0、Magic UI 3.1.1、Magic UI 3.1.0、Magic UI 3.0.0、Magic UI 2.1.1
影响:成功利用这个漏洞可能导致绕过鉴权。