Huawei замалчивает информацию о последних исправленных уязвимостях

Huawei замалчивает информацию о последних исправленных уязвимостях

Уязвимости могли затронуть целостность пользовательских данных, и нежелание Huawei их раскрывать настораживает.

image

Специалисты итальянской компании Swascan обнаружили критические уязвимости в web-системах Huawei, но, хотя проблемы были должным образом исправлены, компания запрещает исследователям раскрывать подробности о них.

Какая часть web-систем была уязвима, какая информация могла быть похищена или модифицирована, какие операции могли быть затронуты, эксплуатировались ли уязвимости злоумышленниками и были ли им присвоены идентификаторы CVE, неизвестно. Huawei упрямо отказывается от комментариев и запрещает Swascan публиковать какие-либо сведения касательно данного вопроса в рамках соглашения о неразглашении.

«Эксперты Swascan выявили ряд критических уязвимостей в инфраструктуре и web-приложениях Huawei. Последующее ответственное раскрытие уязвимости выявило несколько проблем, отнесенных к категории критических, которые в случае использования злоумышленниками или киберпреступниками могли повлиять на целостность бизнеса, безопасность пользовательских данных и на работу сервисов», - сообщается в пресс-релизе Swascan, опубликованном с разрешения Huawei.

Когда журналисты The Register попросили Swascan подробнее рассказать о характере уязвимостей, исследователи ответили, что не могут сообщить больше, чем уже сообщили в одобренном Huawei пресс-релизе. На данный момент известны только типы уязвимостей: чтение за пределами выделенной памяти, запись за пределами выделенной памяти и внедрение команд.

Многие компании запрещают исследователям раскрывать подробности об уязвимостях в рамках соглашения о неразглашении. Однако в этом конкретном случае могли быть затронуты данные пользователей, и нежелание Huawei сообщать подробности настораживает.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle