多款Lenovo VIBE手机权限访问漏洞

CVE编号

CVE-2017-3750

利用情况

暂无

补丁情况

N/A

披露时间

2017-06-30

漏洞描述

Android 6.0 Marshmallow是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。Lenovo A2010-a等都是中国联想（Lenovo）公司的使用Android 6.0 Marshmallow操作系统的智能手机产品。 使用Android 6.0 Marshmallow之前的版本的多款Lenovo VIBE手机中存在权限访问漏洞，该漏洞源于Lenovo Security Android应用程序允许通过Android Debug Bridge备份并储存私人数据。攻击者可利用该漏洞获取提升的权限。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://support.lenovo.com/us/zh/product_security/len-15823

参考链接
https://support.lenovo.com/us/en/product_security/LEN-15823

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	google	android	*		Up to (including) 5.1.1
	运行在以下环境
	硬件	lenovo	vibe_a1600	-	-
	运行在以下环境
	硬件	lenovo	vibe_a2560	-	-
	运行在以下环境
	硬件	lenovo	vibe_a2800	-	-
	运行在以下环境
	硬件	lenovo	vibe_a2860	-	-
	运行在以下环境
	硬件	lenovo	vibe_a2880	-	-
	运行在以下环境
	硬件	lenovo	vibe_a3000	-	-
	运行在以下环境
	硬件	lenovo	vibe_a3500	-	-
	运行在以下环境
	硬件	lenovo	vibe_a3600-d	-	-
	运行在以下环境
	硬件	lenovo	vibe_a3600u	-	-
	运行在以下环境
	硬件	lenovo	vibe_a3800-d	-	-
	运行在以下环境
	硬件	lenovo	vibe_a3900	-	-
	运行在以下环境
	硬件	lenovo	vibe_a6000	-	-
	运行在以下环境
	硬件	lenovo	vibe_a6000-i	-	-
	运行在以下环境
	硬件	lenovo	vibe_a6020i37	-	-
	运行在以下环境
	硬件	lenovo	vibe_a6600	-	-
	运行在以下环境
	硬件	lenovo	vibe_a6800	-	-
	运行在以下环境
	硬件	lenovo	vibe_k30-e	-	-
	运行在以下环境
	硬件	lenovo	vibe_k30-w-cu	-	-
	运行在以下环境
	硬件	lenovo	vibe_k32c30	-	-
	运行在以下环境
	硬件	lenovo	vibe_k80m	-	-

CVSS3评分 6.4

• 攻击路径 物理
• 攻击复杂度 高
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:P/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com