漏洞概述 漏洞名称: Bug 58204 - Skia buffer overflow CVE ID: CVE-2019-7386 漏洞类型: Buffer Overflow 攻击类型: Remote 影响: Denial of Service (DoS) 影响范围 受影响产品: Nokia 8810 4G 软件版本: 10.05 Kai OS 版本: 2.5 Build Number: 10.05 Platform ver: 48.0.a2 严重程度: High-Critical 修复方案 修复状态: 已修复 修复链接: GitLab merge-request 修复提交: Commit 1, Commit 2 POC代码 详细信息 漏洞描述: 在Gecko组件中发现了一个拒绝服务问题。当访问包含上述POC代码的网页时,Gecko进程会崩溃并导致设备重启。 攻击向量: 通过访问包含恶意代码的网页来触发漏洞。 修复措施: 限制canvas渲染的批处理数量,避免内存溢出。 时间线 2019-01-06: 发现漏洞 2019-01-08: 报告给Nokia 2019-01-09: 报告给HMD Global 2019-01-10: 在Twitter上提及 2019-01-15: 请求CVE-ID 2019-02-04: CVE分配 2019-03-23: 报告给Mozilla 2019-03-24: 开始修复 2019-04-10: 提出修复方案 2019-04-16: 修复完成 2019-05-02: 测试修复 2019-05-03: 确认修复有效 2019-05-06: 合并修复 2019-06-20: 提交修复代码 其他信息 报告者: Kaustubh Padwad 联系信息: - Twitter: @s3curityb3ast - Website: http://breakthesec.com - LinkedIn: Kaustubh Padwad