PT-2020-3693 · Google+4 · Android+4

Publicado

2020-03-02

·

Atualizado

2024-06-15

·

CVE-2020-0034

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Android 8.0 a 8.1
Descrição
O problema está relacionado a uma possível leitura fora dos limites na função vp8 decode frame devido à validação inadequada de entradas. Isso pode levar à divulgação remota de informações se a correção de erros estiver ativada, sem a necessidade de privilégios de execução adicionais. Não é necessária a interação do usuário para a exploração. A vulnerabilidade está associada a um estouro de buffer no componente Media Framework do sistema operacional Android, o que pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas.
Recomendações
Para as versões do Android 8.0 a 8.1, considere desativar a função vp8 decode frame até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso ao componente Media Framework para minimizar o risco de divulgação de informações. Evite usar recursos de correção de erros nas versões afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

BDU:2020-04042
CESA-2020_3876
CVE-2020-0034
DLA-2136-1
DLA-2829-1
OPENSUSE-SU-2020:0680-1
OPENSUSE-SU-2020_0680-1
OPENSUSE-SU-2024:11680-1
RHSA-2020:3876
RHSA-2020_3876
SUSE-SU-2020:1297-1
SUSE-SU-2020:1297-2
SUSE-SU-2020_1297-1
SUSE-SU-2020_1297-2
SUSE-SU-2021:4168-1
SUSE-SU-2021_4168-1
USN-5637-1

Produtos afetados

Android
Centos
Red Hat
Suse
Ubuntu