美国政府网络安全局发布信息:多猫腻投票系统作弊 |
送交者: 明君女皇 2022年06月06日16:53:05 于 [天下论坛] 发送悄悄话 |
https://www.cisa.gov/uscert/ics/advisories/icsa-22-154-01 2.2.1 对密码签名 CWE-347 的不当验证 ImageCast X 的测试版本不会将应用程序签名验证为受信任的根证书。使用受信任的根证书可确保安装在设备上的软件可追踪或验证制造商提供的用于检测篡改的加密密钥。攻击者可以利用此漏洞安装恶意代码,该代码还可以通过可移动媒体传播到其他易受攻击的 ImageCast X 设备。 2.2.2 可变证明或测量报告数据 CWE-1283 ImageCast X 的屏幕应用程序哈希显示功能、审计日志导出和应用程序导出功能的测试版本依赖于自我证明机制。攻击者可以利用此漏洞来伪装设备上的恶意应用程序。 2.2.3 隐藏功能 CWE-912 ImageCast X 的测试版本有一个终端仿真器应用程序,攻击者可以利用该应用程序在设备上获得提升的权限和/或安装恶意代码。 2.2.4 备用路径 CWE-424 保护不当 ImageCast X 的测试版本允许重新启动到 Android 安全模式,这允许攻击者直接访问操作系统。攻击者可以利用此漏洞来提升设备的权限和/或安装恶意代码。 2.2.5 路径遍历:'../FILEDIR' CWE-24 ImageCast X 的测试版本可以被特制的选举定义文件操纵以导致任意代码执行。攻击者可以利用此漏洞将恶意代码从 EMS 传播到 ImageCast X 设备。 2.2.6 以不必要的权限执行 CWE-250 ImageCast X 测试版本上的应用程序可以通过利用系统级服务以提升的权限执行代码。攻击者可以利用此漏洞来提升设备的权限和/或安装恶意代码。 2.2.7 通过欺骗 CWE-290 绕过身份验证 技术人员在经过测试的 ImageCast X 版本上使用的身份验证机制容易被伪造。具有物理访问权限的攻击者可以使用它来获得设备的管理权限并安装恶意代码或执行任意管理操作。 2.2.8 不正确的权限分配 CWE-266 投票工作人员使用经过测试的 ImageCast X 版本管理投票的身份验证机制可能会暴露用于保护选举信息的加密机密。攻击者可以利用此漏洞访问敏感信息并执行特权操作,从而可能影响其他选举设备。 2.2.9 原点验证错误 CWE-346 选民用于激活 ImageCast X 测试版本上的投票会话的身份验证机制容易被伪造。攻击者可以利用此漏洞在未经授权的情况下打印任意数量的选票。 |
|
|
|
实用资讯 | |
|
|
一周点击热帖 | 更多>> |
|
|
一周回复热帖 |
|
|
历史上的今天:回复热帖 |
2021: | 修仙需弄清楚: 光速和光子的速度,电速 | |
2021: | 14亿人齐学独裁思想 | |
2020: | 法广| 巴西威胁退出世卫组织 | |
2020: | 六四中共屠城,世界人民永不忘记 | |
2019: | 东西方文明的基因有差别 | |
2019: | 我觉得吧,六四学运组织得到港支联这么 | |
2018: | 把现在的中国分成7个或者九个小国。小 | |
2018: | 普京:習主席是好夥伴好朋友 | |
2017: | 我为什么支持川普退出《巴黎气候协定》 | |
2017: | 为什么你们颠覆不了中国?-- 不服来辩 | |