在AVIExtractor.cpp的MakeMPEG4VideoCodecSpecificData中，可能存在越界写入

CVE编号

CVE-2019-2109

利用情况

暂无

补丁情况

N/A

披露时间

2019-07-09

漏洞描述

在AVIExtractor.cpp的MakeMPEG4VideoCodecSpecificData中，由于边界检查不正确，可能会出现越界限制。这可能导致远程代码执行，无需额外的执行权限。开发需要用户交互。产品：Android。版本：Android-7.0 Android-7.1.1 Android-7.1.2 Android-8.0 Android-8.1。 Android ID：A-130651570。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://source.android.com/security/bulletin/2019-07-01

参考链接
https://source.android.com/security/bulletin/2019-07-01

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	google	android	7.0	-
	运行在以下环境
	系统	google	android	7.1.1	-
	运行在以下环境
	系统	google	android	7.1.2	-
	运行在以下环境
	系统	google	android	8.0	-
	运行在以下环境
	系统	google	android	8.1	-
查看完整数据

CVSS3评分 8.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 需要
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-787 跨界内存写