漏洞概要
关注数(24)
关注此漏洞
漏洞标题:MTK FrameBuffer内核驱动任意地址数据改写漏洞
提交时间:2016-03-09 12:00
修复时间:2016-06-09 19:40
公开时间:2016-06-09 19:40
漏洞类型:权限提升
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2016-03-09: 细节已通知厂商并且等待厂商处理中
2016-03-11: 厂商已经确认,细节仅向厂商公开
2016-03-14: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2016-05-05: 细节向核心白帽子及相关领域专家公开
2016-05-15: 细节向普通白帽子公开
2016-05-25: 细节向实习白帽子公开
2016-06-09: 细节向公众公开
简要描述:
MTK FrameBuffer内核驱动是Linux内核中为方便用户态应用操作图形硬件相关功能的模块。其没有过滤输入数据,导致用户态应用可构造请求完成内核数据改写。
详细说明:
MTK FrameBuffer内核驱动是Linux内核中为了方便用户态应用操作图形硬件相关功能的模块。其通过/dev/graphics/fb0设备接口与用户态通信。
在处理MTKFB_CAPTURE_FRAMEBUFFER命令过程中,代码没有对用户传入的指针进行限定,导致可以对任意虚拟地址进行改写。如果覆盖的地址中包含类似uid的数据结构即可用于提权等目的。
以MediaTek-HelioX10-Kernel代码为例,在mtkfb_ioctl函数中相关代码如下:
可以看到pbuf值直接来自于用户态提供的参数。之后其被传入
primary_display_capture_framebuffer_ovl函数
当息屏或primary_display_cmdq_enabled返回0时,都会直接调用memset函数,导致目标地址开始后buffer_size长度的内容清零。
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2016-03-11 19:31
厂商回复:
CNVD确认所述情况,已经转由CNCERT向TWCERT通报,由其后续协调网站管理单位处置。
最新状态:
暂无