首頁 > 安全研究 > 安全通報 > 安全通告

谷歌Nest智能攝像頭多個安全漏洞安全通告

發布時間 2019-08-21

? 漏洞編號和級別


CVE編號:CVE-2019-5043,危險級別:中危,CVSS分值:官方未評定
CVE編號:CVE-2019-5034,危險級別:中危,CVSS分值:官方未評定
CVE編號:CVE-2019-5040,危險級別:高危,CVSS分值:官方未評定
CVE編號:CVE-2019-5038,危險級別:高危,CVSS分值:官方未評定
CVE編號:CVE-2019-5039,危險級別:高危,CVSS分值:官方未評定
CVE編號:CVE-2019-5035,危險級別:嚴重,CVSS分值:官方未評定
CVE編號:CVE-2019-5036,危險級別:高危,CVSS分值:官方未評定
CVE編號:CVE-2019-5037,危險級別:高危,CVSS分值:官方未評定


? 影響版本


受影響的版本


Google Nest Cam IQ Indoor 4620002版本
Openweave-core 4.0.2版本


漏洞概述


Google Nest Cam IQ Indoor是美國谷歌(Google)的一款室內攝像頭。


Openweave-core是一個家庭局域網應用協議棧,它主要用于控制路徑和數據路徑消息傳遞的異步、對稱、設備到設備和設備到云的通信。


CVE-2019-5043

Google Nest Cam IQ Indoor 4620002版本中的Weave守護進程存在資源管理錯誤漏洞。該漏洞源于網絡系統或產品對系統資源(如內存、磁盤空間、文件等)的管理不當。


CVE-2019-5034

Google Nest Cam IQ Indoor 4620002版本中的Weave Legacy Pairing功能存在緩沖區錯誤漏洞。該漏洞源于網絡系統或產品在內存上執行操作時,未正確驗證數據邊界,導致向關聯的其他內存位置上執行了錯誤的讀寫操作。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。


CVE-2019-5040 

Openweave-core 4.0.2版本和Nest Cam IQ Indoor 4620002版本中的Weave MessageLayer解析過程存在輸入驗證錯誤漏洞。攻擊者可借助特制的weave數據包利用該漏洞泄露信息。


CVE-2019-5038

Nest Labs Openweave-core 4.0.2版本中的Weave工具的print-tlv命令存在緩沖區錯誤漏洞。攻擊者可通過誘使用戶打開特制的Weave命令利用該漏洞執行代碼。 


CVE-2019-5039

Openweave-core 4.0.2版本中的ASN1證書書寫功能存在緩沖區錯誤漏洞。攻擊者可借助特制的weave證書利用該漏洞執行代碼。


CVE-2019-5035

Google Nest Labs Nest Cam IQ Indoor 4620002版本中的Weave PASE解析功能存在信息泄露漏洞。攻擊者可借助特制的weave數據包利用該漏洞獲取更高的Weave訪問權限并可能完全控制設備。


CVE-2019-5036

Google Nest Labs Nest Cam IQ Indoor version 4620002版本中的Weave錯誤報告功能存在訪問控制錯誤漏洞。攻擊者可借助特制的weave數據包利用該漏洞關閉任意的Weave Exchange Session,導致拒絕服務。


CVE-2019-5037

Google Nest Cam IQ Indoor camera 4620002版本中的Weave證書加載功能存在輸入驗證錯誤漏洞。攻擊者可通過發送特制的數據包利用該漏洞造成拒絕服務。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商暫未發布修復措施解決此安全問題,建議使用此軟件的用戶隨時關注廠商主頁或參考網址以獲取解決辦法:


https://nest.com/

https://openweave.io/


參考鏈接


https://www.zdnet.com/article/vulnerabilities-in-google-nest-cam-iq-can-be-used-to-hijack-your-camera/ 

上一篇 下一篇