LifeElements公司已更新其智慧家庭服務MANOMA中使用的AI家庭網關的韌體。此次更新旨在修復安全漏洞。
這與 2025 年 11 月 14 日在 JVN 上發布的 JVN#49899607 相對應,修復了登入產品後管理螢幕實作中的一個安全漏洞。
用戶可於2025年10月28日凌晨2:00起透過MANOMA應用程式手動更新,同時,重新啟動AI家庭網關後也將自動更新。系統預定11月5日凌晨2:00起自動進行更新。
更新完成後,韌體版本將為 1.4.48.17,軟體版本將為 1.13.9。
從: 
MANOMA AI 家庭閘道器韌體更新(10/28)
【社論】
此次 MANOMA 安全更新是考慮智慧家庭設備安全性的重要例證。此次發現的漏洞名為“操作系統命令注入”,其 CVSS 評分為 7.2(CVSS v3.0 標準),屬於較高嚴重性漏洞。
此漏洞的本質在於管理介面輸入驗證機制的缺陷。如果攻擊者設法取得了管理介面的登入憑證,他們就有可能以 root 權限執行任意作業系統指令。 root權限是系統管理員權限,允許對裝置執行任何操作。
由於智慧家庭設備全年365天、每天24小時不間斷運行,因此一次入侵就可能成為攻擊整個家庭網路的跳板。針對物聯網設備的命令注入攻擊有可能使攻擊者完全控制系統,因此被認為是嚴重的威脅。
幸運的是,由於管理員面板需要身份驗證訊息,因此攻擊的門檻在一定程度上得以維持。然而,如果同時存在身份驗證資訊外洩或使用弱密碼等其他因素,則不可否認,這可能會導致嚴重的損失。
LifeElements Inc.(前身為索尼網路通訊公司)採取了逐步推送更新的策略,以確保用戶便利性,最終實現所有裝置的自動更新。這種方法很好地平衡了安全性和使用者體驗。
[術語]
作業系統指令注入<br> 這種攻擊利用網頁或應用程式的輸入字段,透過發送惡意字串在系統上執行任意作業系統命令。這可能導致資訊外洩和惡意軟體感染。
CVSS(通用漏洞評分系統)
用於對漏洞嚴重程度進行數值評估的國際標準,以 0.0 到 10.0 的分數表示。
JVN(日本漏洞報告)
一個提供日本境內發現的軟體漏洞及其應對措施資訊的漏洞資訊網站。由IPA和JPCERT/CC共同營運。
資訊安全預警合作組織<br> 該機制旨在促進漏洞資訊的報告、分發和回應。 IPA 和 JPCERT/CC 擔任協調機構。
AI家庭網關
這是MANOMA的核心設備。它整合了攝影機、感測器等,負責各種智慧家庭功能和網路連接。
[參考連結]
MANOMA 官方網站(外部連結)
官方提供具備家庭監控和犯罪預防功能的智慧家庭服務信息,並詳細介紹物聯網設備和應用程式如何協同工作。
生命元素有限公司(外部)
這是包括MANOMA在內的物聯網平台業務的官方公司頁面。詳細介紹了系統開發和供應業務。
JVN(日本漏洞報告) (外部)
日本最大的提供軟體漏洞和安全措施資訊的入口網站之一。
IPA 資訊安全預警合作組織(外部)
漏洞報告、協調和回應的官方說明頁面。包含有關報告程序和揭露流程的詳細資訊。
[參考文章]
對作業系統命令注入的全面解釋!包括其工作原理、應對措施和範例(外部連結)。
它解釋了攻擊方法的工作原理、漏洞的原因以及需要考慮的設計要點。
什麼是 CVSS?漏洞嚴重性評估標準和評分計算方法(外部連結)
本書詳細概述了 CVSS 作為漏洞評估標準,並根據三個標準(基本、當前和環境)描述了評估方法。
了解智慧家庭:保障您的居住空間安全(外部連結)
一篇解釋性文章,闡述了引入智慧家庭時實際存在的安全風險以及基本的防禦措施。
[編者註]
我們享受智慧家庭帶來的便利,卻很少會想到背後有哪些安全措施在保護我們。像這樣的漏洞修復新聞讓我們意識到,安全防護每天都在進行多麼細緻周密的維護。
如果您家中安裝了智慧家庭設備,何不藉此機會檢查韌體更新狀態?我們相信,小小的舉措就能讓您倍感安心。
