Huawei замалчивает информацию о последних исправленных уязвимостях
Уязвимости могли затронуть целостность пользовательских данных, и нежелание Huawei их раскрывать настораживает.
Специалисты итальянской компании Swascan обнаружили критические уязвимости в web-системах Huawei, но, хотя проблемы были должным образом исправлены, компания запрещает исследователям раскрывать подробности о них. Какая часть web-систем была уязвима, какая информация могла быть похищена или модифицирована, какие операции могли быть затронуты, эксплуатировались ли уязвимости злоумышленниками и были ли им присвоены идентификаторы CVE, неизвестно. Huawei упрямо отказывается от комментариев и запрещает Swascan публиковать какие-либо сведения касательно данного вопроса в рамках соглашения о неразглашении.
«Эксперты Swascan выявили ряд критических уязвимостей в инфраструктуре и web-приложениях Huawei. Последующее ответственное раскрытие уязвимости выявило несколько проблем, отнесенных к категории критических, которые в случае использования злоумышленниками или киберпреступниками могли повлиять на целостность бизнеса, безопасность пользовательских данных и на работу сервисов», — сообщается в пресс-релизе Swascan, опубликованном с разрешения Huawei.
Когда журналисты The Register попросили Swascan подробнее рассказать о характере уязвимостей, исследователи ответили, что не могут сообщить больше, чем уже сообщили в одобренном Huawei пресс-релизе. На данный момент известны только типы уязвимостей: чтение за пределами выделенной памяти, запись за пределами выделенной памяти и внедрение команд.
Многие компании запрещают исследователям раскрывать подробности об уязвимостях в рамках соглашения о неразглашении. Однако в этом конкретном случае могли быть затронуты данные пользователей, и нежелание Huawei сообщать подробности настораживает.