一家网络安全公司Swascan的研究人员透露,他们在华为的Web应用程序和服务器中发现了多个漏洞,网络犯罪分子可以利用这些关键漏洞访问敏感信息。
这些研究人员表示,他们已经确定了华为Web应用程序所存在的三类漏洞,如果被黑客利用,可能会影响正常运营:
① CWE-119(对内存缓冲区的不当限制)---黑客可以访问内存并可能执行恶意代码;
② CWE-125(越界读取)---该漏洞允许网络攻击者读取敏感信息;
③ CWE-78(操作系统命令注入)---网络攻击者可以利用此漏洞执行未经授权的命令,以使软件发生崩溃并访问受限数据。
另外,美国一家名为“Finite State”网络安全公司发布报告称,经调查发现,华为设备存在缺陷的可能性与其竞争对手相比要高得多。
据外媒报道,这份报告在美国特朗普政府高级官员群体中得到了广泛传播。
华为表示,“Finite State”所采用的调查方法存在严重的操作和技术缺陷,相关测试缺乏中立性,相关报告严重失实,缺乏洞察力、完整性和准确性。“为何评估的是华为产品的老版本,发现的是已经在新版本中得到修复的问题?”
华为还表示,其产品安全应急响应团队专门负责收集、调查并披露华为产品相关的安全漏洞信息---一旦确认漏洞,会及时将信息传递给相关产品的团队,并持续跟踪直至漏洞问题得到解决。
全部评论