Android Security Bulletin Analysis (November 2022)
2022-11-01 security patch level vulnerability details
Framework
- DRM组件中clearKey流程的setSecurityLevel操作可能存在竞争条件。
- 在WMS中的navigateUpTo方法,如果调用者UID和目标Activity UID不同,则不允许调用非导出的Activity,防止出现LaunchAnyWhere漏洞。
- 必须具有CAPTURE_AUDIO_HOTWORD权限才允许访问AlwaysOnHotwordDetector,若没有RECORD_AUDIO权限也无法识别音频,主要是应用于语音助手的。
- 辅助功能模块中,当通知是发送给不同的User ID时,不发送AccessibilityEvent。
- 对于从Android Q升级上来的应用,如果应用的Target SDK级别是Q,则禁止自动授予AR运行时权限。
- 在Android 13中,如果使用了ReadWriteHelper,就使得BaseBundle对象不适用LazyValue机制,否则可能会导致在Parcel对象已被回收时,LazyValue对象中依旧存在到Parcel对象的引用(可能类似于UAF)。
- StorageManager中,对外部Installers移除遗留的WRITE_EXTERNAL_STORAGE权限检查,因为已实施分区存储。
Multiple components
- 从TelecomManager中获取列表数据时使用ParceledListSlice,否则在出现超过1MB的phoneAccountHandles时会抛出TransactionTooLarge异常,然后静默返回一个空列表,影响可用性。
System
- CallRedirectionService返回的PhoneAccountHandle数据没有检查是否跨用户。
- NFC模块phNxpNciHal_write_unlocked的越界写入。
- 在SIM卡因为PIN输入次数过多,而必须使用PUK解锁的场景下,使用PUK解锁之后由于条件竞争问题错误的忽略了锁屏密码,导致锁屏绕过。这个漏洞11月中旬刚刚披露的时候很火,可以在网上用关键词“Android PUK vulnerability”检索以获取更多信息。
- 蓝牙SDP模块process_service_search_rsp函数中添加负数检查。
- 蓝牙PAN中pcb->write.octets不选用全局的len进行加操作。
- 在AlarmManagerService中当达到Alarm限制的时候,不执行软重启操作。
- MmsProvider中的路径穿越问题,会导致意外将文件权限更改为0644。