首页 > 安全研究 > 安全通报 > 安全通告

谷歌Nest智能摄像头多个安全漏洞安全通告

发布时间 2019-08-21

漏洞编号和级别


CVE编号:CVE-2019-5043,危险级别:中危,CVSS分值:官方未评定
CVE编号:CVE-2019-5034,危险级别:中危,CVSS分值:官方未评定
CVE编号:CVE-2019-5040,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-5038,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-5039,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-5035,危险级别:严重,CVSS分值:官方未评定
CVE编号:CVE-2019-5036,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-5037,危险级别:高危,CVSS分值:官方未评定


影响版本


受影响的版本


Google Nest Cam IQ Indoor 4620002版本
Openweave-core 4.0.2版本


• 漏洞概述


Google Nest Cam IQ Indoor是美国谷歌(Google)的一款室内摄像头。


Openweave-core是一个家庭局域网应用协议栈,它主要用于控制路径和数据路径消息传递的异步、对称、设备到设备和设备到云的通信。


CVE-2019-5043

Google Nest Cam IQ Indoor 4620002版本中的Weave守护进程存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。


CVE-2019-5034

Google Nest Cam IQ Indoor 4620002版本中的Weave Legacy Pairing功能存在缓冲区错误漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。


CVE-2019-5040 

Openweave-core 4.0.2版本和Nest Cam IQ Indoor 4620002版本中的Weave MessageLayer解析过程存在输入验证错误漏洞。攻击者可借助特制的weave数据包利用该漏洞泄露信息。


CVE-2019-5038

Nest Labs Openweave-core 4.0.2版本中的Weave工具的print-tlv命令存在缓冲区错误漏洞。攻击者可通过诱使用户打开特制的Weave命令利用该漏洞执行代码。 


CVE-2019-5039

Openweave-core 4.0.2版本中的ASN1证书书写功能存在缓冲区错误漏洞。攻击者可借助特制的weave证书利用该漏洞执行代码。


CVE-2019-5035

Google Nest Labs Nest Cam IQ Indoor 4620002版本中的Weave PASE解析功能存在信息泄露漏洞。攻击者可借助特制的weave数据包利用该漏洞获取更高的Weave访问权限并可能完全控制设备。


CVE-2019-5036

Google Nest Labs Nest Cam IQ Indoor version 4620002版本中的Weave错误报告功能存在访问控制错误漏洞。攻击者可借助特制的weave数据包利用该漏洞关闭任意的Weave Exchange Session,导致拒绝服务。


CVE-2019-5037

Google Nest Cam IQ Indoor camera 4620002版本中的Weave证书加载功能存在输入验证错误漏洞。攻击者可通过发送特制的数据包利用该漏洞造成拒绝服务。


• 漏洞验证


暂无POC/EXP。


• 修复建议


目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:


https://nest.com/

https://openweave.io/


• 参考链接


https://www.zdnet.com/article/vulnerabilities-in-google-nest-cam-iq-can-be-used-to-hijack-your-camera/ 

上一篇 下一篇