1、漏洞
漏洞来源:该漏洞源自上游Linux内核的一个补丁,影响了所有目前OPPO Android内核版本。
影响范围:此漏洞主要影响云桌面、编译服务器和云服务器等linux内核操作系统。
2、漏洞原理
DirtyPipe漏洞:DirtyPipe漏洞允许向任意可读文件中写数据,通过使用DirtyPipe结合利用技术,可以实现类似万花筒写轮眼般的实战效果。
漏洞根因分析:漏洞的本质是变量未初始化,即buf->flags成员没有初始化,在splice函数中,如果管道缓存页被当成普通pipe缓存页续写,就会发生本地提权。
3、漏洞补丁分析
:通过对linux内核补丁的分析,发现增加了对buf->flags的初始化操作,从而修复了DirtyPipe漏洞。
漏洞利用的关键:splice函数中的零拷贝方式实现文件传输,以及pipe_write函数中对flag标志位的管理和初始化。
4、受影响设备
受影响的设备型号:包括Galaxy S22系列、Galaxy S21 FE、谷歌Pixel 6 / Pixel 6 Pro、Oppo find X5或Realme 9 Pro+等。
系统要求:此次漏洞只影响Android 12下发布的、基于Linux 5.8以上内核版本的智能手机。
5、OPPO的安全措施
安全应急响应中心(OSRC):OPPO成立了安全应急响应中心,与多个漏洞提交平台合作,守护用户安全。
加入CVE组织:OPPO正式加入CVE组织,成为该组织第100家CVE编号授权机构,意味着OPPO产品的安全漏洞可以在CVE中找到编号,并在任何其它CVE兼容的数据库中找到相应的修补信息。
OPPO漏洞是一个严重的安全问题,但OPPO已经采取了积极的措施来修复和预防此类问题,用户应保持警惕,及时更新系统和应用,以确保设备安全。
以上内容就是解答有关OPPO漏洞的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/70694.html
