背景:Intel Wi-Fi芯片广泛应用于个人笔记本电脑产品,如ThinkPad、Dell笔记本等。2020年,ZDI组织披露了Intel无线网卡Windows驱动程序中存在CVE-2020-0557和CVE-2020-0558漏洞。其中,CVE-2020-0557的CVSS v3.0评分为8.1分,CVE-2020-0558的CVSS v3.0评分为8.2分。通过这两个漏洞,攻击者可以在受害者电脑中远程执行任意代码。
CVE-2020-0558漏洞分析
1漏洞原理
当AP热点处理AssocReq时,会调用
prvhPanClientSaveAssocResp函数保存AssocReq帧中SSID的值,在处理SSID的过程中,会调用parse_ie函数从数据帧中取出ssid的TLV结构,并调用memcpy_s函数将ssid的内容复制到目标缓冲区。在调用memcpy_s函数的时候,错误地使用ssid的length作为数据复制长度,当ssid的长度大于目标缓冲区的长度时,会导致缓冲区溢出。函数调用图如下所示:
2问题代码
调用parse_ie函数从数据帧中取出ssid的TLV结构,并调用memcpy_s函数将ssid的内容复制到目标缓冲区。在调用memcpy_s函数的时候,错误地使用ssid的length作为数据复制长度,当ssid的长度大于目标缓冲区的长度时,会导致缓冲区溢出。在下图中,攻击者可以控制*(v8+1)的值,可以拷贝超长的数据复制到目标地址中,从而导致缓冲区溢出。如下图所示:
3漏洞修复
新版本的代码中使用osalMemoryCopy函数替代了原来的memcpy_s函数,另外把SSID拷贝的最大长度强制设为32字节,这样就避免了缓存区溢出的问题。如下图所示:
CVE-2020-0557漏洞分析
漏洞原理
当AP热点处理AssocReq时,会调用
prvhPanClientSaveAssocResp函数处理AssocReq帧中的数据,其中在函数中会调用prvGoVifClientAssocStoreSupportedChannels函数来处理及保存请求端通道信息,这其中prvGoVifClientAssocStoreSupportedChannels函数会循环调用utilRegulatoryClassToChannelList来处理RegulatoryClass(管制要求)信息。由于在循环处理没有考虑目标的偏移是否越界,当AP热点接收到AssocReq数据帧中RegulatoryClass信息单元有多个信道数据时会导致越界写。函数调用图如下图所示:
问题代码
prvGoVifClientAssocStoreSupportedChannels函数,如下图所示:
漏洞修复
在新版本 增进了对当前index的判断,如果index大于255则退出循环。如下图所示:
漏洞验证
推荐阅读:史上最详细的Linux命令行与shell脚本编程手册 (收藏这篇就够了)
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
