安全公告 | 框架触控模块中存在内存访问越界漏洞

初始发布日期：2020年10月14日 |更新发布日期：2021年03月03日

CVE编号

CVE-2020-12485

CVSS 3.1 基本得分

5.5 Medium (AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H)

漏洞描述

框架触控模块在处理特定参数时未对参数长度进行有效性判断导致当前代码段内存访问越界，最终导致设备本地拒绝服务。

版本和修复

• 产品名称 受影响的版本 修复版本
• 触控模块 系统为 android 10的所有机型 PD2012_1.4.0、PD1965EF_EX_EU_4.4.0、PD2001F_EX_1.6.0、PD1968F_EX_1.10.1、PD1962_1.7.6、PD1981_1.5.0、PD2006F_EX_1.6.2及后续更新版本

版本获取路径

可通过系统升级获取最新ROM版本修复此漏洞。

来源

由CytQ通过vivo SRC 提交。

更新记录

2020-10-14 V1.0 初始发布
2021-3-3 V1.1 更新vivo安全应急响应对外服务内容

vivo 安全应急响应对外服务

vivo致力于为用户提供安全的产品和服务，遵循业界最佳实践处理和披露安全漏洞信息。 反馈vivo产品和服务安全问题请反馈至邮箱：security@vivo.com。
详情参考：https://www.vivo.com.cn/service/security-advisory。