Android 缓冲区错误漏洞

CVE编号

CVE-2019-1988

利用情况

暂无

补丁情况

N/A

披露时间

2019-03-01

漏洞描述

Google Android是美国谷歌（Google）公司的和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。 Google Android 8.0版本、8.1版本和9.版本中的SkSwizzler.cpp文件的‘sample6’函数存在越界写入漏洞，该漏洞源于不正确的输入验证。远程攻击者可利用该漏洞执行代码。

解决建议

厂商已发布漏洞修复程序，请及时关注更新：
https://source.android.com/security/bulletin/2019-02-01

参考链接
http://www.securityfocus.com/bid/106842
https://source.android.com/security/bulletin/2019-02-01

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	debian_10	shadow	*		Up to (excluding) 3.0.3-1+deb10u1
	运行在以下环境
	系统	debian_11	shadow	*		Up to (excluding) 4.8.1-1
	运行在以下环境
	系统	debian_9	shadow	*		Up to (excluding) 73.0.3683.75-1~deb9u1
	运行在以下环境
	系统	debian_sid	shadow	*		Up to (excluding) 4.8.1-1.1
	运行在以下环境
	系统	fedora_30	shadow	*		Up to (excluding) 3.0.2-6.fc30
	运行在以下环境
	系统	fedora_31	shadow	*		Up to (excluding) 3.0.3-6.fc31
	运行在以下环境
	系统	fedora_32	shadow	*		Up to (excluding) 3.0.3-6.fc32
	运行在以下环境
	系统	fedora_EPEL_7	shadow	*		Up to (excluding) 3.0.2-6.el7
	运行在以下环境
	系统	google	android	8.0	-
	运行在以下环境
	系统	google	android	8.1	-
	运行在以下环境
	系统	google	android	9.0	-
	运行在以下环境
	系统	opensuse_Leap_15.1	shadow	*		Up to (excluding) 80.0.3987.87-lp151.2.63.1
	运行在以下环境
	系统	opensuse_Leap_15.2	chromium	*		Up to (excluding) 0-3.36.0-lp152.4.3.1
	运行在以下环境
	系统	opensuse_Leap_15.3	chromium	*		Up to (excluding) 3.36.0-3.12.1
	运行在以下环境
	系统	suse_12_SP5	chromium	*		Up to (excluding) 0-3.36.0-9.18.1
	运行在以下环境
	系统	ubuntu_16.04_lts	shadow	*		Up to (excluding) 1:4.2-3.1ubuntu5.4
	运行在以下环境
	系统	ubuntu_16.04_lts	sqlite3	*		Up to (excluding) 3.11.0-1ubuntu1.3
	运行在以下环境
	系统	ubuntu_18.04_lts	shadow	*		Up to (excluding) 1:4.5-1ubuntu2
	运行在以下环境
	系统	ubuntu_18.04_lts	sqlite3	*		Up to (excluding) 3.22.0-1ubuntu0.2
查看完整数据

CVSS3评分 8.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 需要
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-20 输入验证不恰当 CWE-787 跨界内存写