漏洞关键信息 日期: June 7th, 2018 漏洞标题: (Pwn2Own) Samsung Members Intent Proxy Privilege Escalation Vulnerability ZDI ID: ZDI-18-562 ZDI CAN ID: ZDI-CAN-5361 CVE ID: CVE-2018-11614 CVSS 评分: 4.4, AV:L/AC:M/Au:N/C:P/I:P/A:P 受影响厂商: Samsung 受影响产品: Members Trend Micro 客户保护: Trend Micro TippingPoint IPS 客户通过 Digital Vaccine 保护过滤器 ID ['29914'] 防御此漏洞。TippingPoint IPS 的更多信息请访问: http://www.tippingpoint.com 漏洞详情: 该漏洞允许远程攻击者在 Samsung Members 的脆弱安装上提升权限。攻击者必须首先获得在目标系统上执行低权限代码的能力,以利用此漏洞。具体缺陷在于处理 Intents 的方式,攻击者可以利用该漏洞提升至应用通常保护的资源权限。 补丁信息: 已在 Samsung Members v. 2.4.25 中修复。 披露时间线: - 2017-11-05: 向厂商报告漏洞 - 2018-06-07: 协调发布咨询 - 2018-06-07: 咨询更新 贡献者: MWR Labs - Alex Plaskett, James Loureiro, Robert Miller 和 Georgi Geshev