美國政府網絡安全局發布信息:多貓膩投票系統作弊 |
送交者: 明君女皇 2022年06月06日16:53:05 於 [天下論壇] 發送悄悄話 |
https://www.cisa.gov/uscert/ics/advisories/icsa-22-154-01 2.2.1 對密碼簽名 CWE-347 的不當驗證 ImageCast X 的測試版本不會將應用程序簽名驗證為受信任的根證書。使用受信任的根證書可確保安裝在設備上的軟件可追蹤或驗證製造商提供的用於檢測篡改的加密密鑰。攻擊者可以利用此漏洞安裝惡意代碼,該代碼還可以通過可移動媒體傳播到其他易受攻擊的 ImageCast X 設備。 2.2.2 可變證明或測量報告數據 CWE-1283 ImageCast X 的屏幕應用程序哈希顯示功能、審計日誌導出和應用程序導出功能的測試版本依賴於自我證明機制。攻擊者可以利用此漏洞來偽裝設備上的惡意應用程序。 2.2.3 隱藏功能 CWE-912 ImageCast X 的測試版本有一個終端仿真器應用程序,攻擊者可以利用該應用程序在設備上獲得提升的權限和/或安裝惡意代碼。 2.2.4 備用路徑 CWE-424 保護不當 ImageCast X 的測試版本允許重新啟動到 Android 安全模式,這允許攻擊者直接訪問操作系統。攻擊者可以利用此漏洞來提升設備的權限和/或安裝惡意代碼。 2.2.5 路徑遍歷:'../FILEDIR' CWE-24 ImageCast X 的測試版本可以被特製的選舉定義文件操縱以導致任意代碼執行。攻擊者可以利用此漏洞將惡意代碼從 EMS 傳播到 ImageCast X 設備。 2.2.6 以不必要的權限執行 CWE-250 ImageCast X 測試版本上的應用程序可以通過利用系統級服務以提升的權限執行代碼。攻擊者可以利用此漏洞來提升設備的權限和/或安裝惡意代碼。 2.2.7 通過欺騙 CWE-290 繞過身份驗證 技術人員在經過測試的 ImageCast X 版本上使用的身份驗證機制容易被偽造。具有物理訪問權限的攻擊者可以使用它來獲得設備的管理權限並安裝惡意代碼或執行任意管理操作。 2.2.8 不正確的權限分配 CWE-266 投票工作人員使用經過測試的 ImageCast X 版本管理投票的身份驗證機制可能會暴露用於保護選舉信息的加密機密。攻擊者可以利用此漏洞訪問敏感信息並執行特權操作,從而可能影響其他選舉設備。 2.2.9 原點驗證錯誤 CWE-346 選民用於激活 ImageCast X 測試版本上的投票會話的身份驗證機制容易被偽造。攻擊者可以利用此漏洞在未經授權的情況下打印任意數量的選票。 |
|
|
|
實用資訊 | |
|
|
一周點擊熱帖 | 更多>> |
|
|
一周回復熱帖 |
|
|
歷史上的今天:回復熱帖 |
2021: | 修仙需弄清楚: 光速和光子的速度,電速 | |
2021: | 14億人齊學獨裁思想 | |
2020: | 法廣| 巴西威脅退出世衛組織 | |
2020: | 六四中共屠城,世界人民永不忘記 | |
2019: | 東西方文明的基因有差別 | |
2019: | 我覺得吧,六四學運組織得到港支聯這麼 | |
2018: | 把現在的中國分成7個或者九個小國。小 | |
2018: | 普京:習主席是好夥伴好朋友 | |
2017: | 我為什麼支持川普退出《巴黎氣候協定》 | |
2017: | 為什麼你們顛覆不了中國?-- 不服來辯 | |