新闻链接：http://www.cert.org.cn/publish/main/9/2013/20130608092115089352067/20130608092115089352067_.html
新闻时间：2013-06-08
新闻正文：         
                 关于深圳市益光实业公司平板电脑主板YG-A-777存在固件后门漏洞的情况通报
近日，国家信息安全漏洞共享平台CNVD收录了深圳市益光实业有限公司生产平板电脑主板YG-A-777存在的一个固件后门漏洞（CNVD编号：CNVD-2013-25777），攻击者利用漏洞可以取得用户终端设备的控制权，构成信息泄露和运行安全风险。具体情况通报如下：
        一、漏洞情况分析
        平板电脑主板YG-A-777是由深圳市益光实业有限公司开发的硬件产品。该产品的固件中存在一个su后门文件，通过调试工具可以在无授权验证的情况下直接调用该后门文件，获取固件系统最高权限（root权限）。恶意攻击者可利用漏洞进一步在平板电脑上植入恶意应用程序，窃取用户信息或控制终端设备。
        二、漏洞影响范围
        CNVD对漏洞的综合评级为“高危”。一些国内外平板电脑厂商采用YG-A-777产品集成在其平板电脑成品中。根据初步测试结果，深圳市盈科创展科技有限公司生产的神行者平板电脑PD10（TCC8923方案版）和K700L以及韩国现代数码公司生产的A7 ART等平板电脑产品存在所述漏洞。
        三、漏洞处置建议
        CNVD于6月6日向深圳市益光实业有限公司通报了漏洞信息，但该公司未能对通报的漏洞信息进行积极响应，也未能按CNVD处置流程要求明确漏洞修补时间以及做好客户应急服务的计划。处置建议如下：
        （一）建议采用YG-A-777产品的国内外相关厂商及时联系深圳市益光实业有限公司，要求提供解决方案,也可自行在固件中查找并删除后门文件。
        （二）购买对应型号平板电脑的用户可向生产厂商询问漏洞情况。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！