漏洞关键信息 漏洞标识 CVE: CVE-2014-1977 漏洞描述 NTT DOCOMO 的 sp mode mail 应用程序包含一个函数,允许其他 Android 应用程序访问传入邮件的附件。此功能存在限制访问权限的问题。 CVSS 严重性 CVSS v2 严重性: 2.6 (低) 基础度量: - 访问向量: 网络 - 访问复杂度: 高 - 身份验证: 无 - 机密性影响: 部分 - 完整性影响: 无 - 可用性影响: 无 影响产品 NTT DOCOMO, INC. - sp mode mail rev.6300 及更早版本,适用于 Android 4.0.X 及更早版本 - sp mode mail rev.6700 及更早版本,适用于 Android 4.1 及更高版本 影响 如果恶意 Android 应用程序安装在设备上,可能会获取传入邮件的附件。 解决方案 开发者不会提供更新来解决此问题。 使用注意事项 根据开发者的说法,在首次启动应用程序时,用户协议中已包含关于此问题的警告信息。 厂商信息 NTT DOCOMO, INC. - 参考信息: Improper Access Control CWE CWE-264: 权限 参考资料 JVN: JVN#81739241 National Vulnerability Database (NVD): CVE-2014-1977 修订历史 2014/03/18: 网页发布 2014/03/24: 添加内容