2021-09-01 security patch level vulnerability details
Framework
CVE-2021-0687
- Layout导致的远程拒绝服务漏洞,具体细节仍在调查中(与发现者交流)
CVE-2021-0595
CVE-2021-0683
- am命令的dumpheap功能存在任意文件删除漏洞,会以system_server的身份删除攻击者指定文件名的文件
int runTraceIpcStop(PrintWriter pw) throws RemoteException {
final PrintWriter err = getErrPrintWriter();
String opt;
String filename = null;
while ((opt=getNextOption()) != null) {
if (opt.equals("--dump-file")) {
filename = getNextArgRequired();
} else {
err.println("Error: Unknown option: " + opt);
return -1;
}
}
if (filename == null) {
err.println("Error: Specify filename to dump logs to.");
return -1;
}
File file = new File(filename);
file.delete();
//...
}
CVE-2021-0684
CVE-2021-0685
- 移除了ParsedIntentInfo的Parcelable Creator,避免在Parcel传递数组时的size不匹配导致的错误。
CVE-2021-0688
- 锁定屏幕的lockNow和updateLockscreenTimeout存在条件竞争,可能导致在lockNow执行后未立即锁屏,而是锁屏超时时间被updateLockscreenTimeout的结果覆盖。
CVE-2021-0686
- getDefaultSmsPackage接口添加跨用户检查。
CVE-2021-0689
CVE-2021-0690
System
CVE-2021-0598
- NFC的确认连接界面ConfirmConnectActivity增加SYSTEM_FLAG_HIDE_NON_SYSTEM_OVERLAY_WINDOWS标志
CVE-2021-0692
- 对FirstScreenBroadcast的PendingIntent设置FLAG_IMMUTABLE标志
CVE-2021-0428
- SubscriptionController和SubscriptionInfo中多个接口存在标识符泄露漏洞,包括以下接口:
- SubscriptionInfo.getCardString
- SubscriptionInfo.getIccId
- SubscriptionController.getSubscriptionInfoListFromCacheHelper
CVE-2021-0644
- SubscriptionInfo的mGroupUUID字段可被仅有READ_PHONE_STATE权限的应用用于不可重置的标识符,要求具有READ_DEVICE_IDENTIFIERS的权限才能访问此字段。
CVE-2021-0682
CVE-2021-0693
- Shell应用(com.android.shell)的HeapDumpProvider对外暴露,会导致在开发者选项中点击“收集堆转储信息”后,被第三方应用直接读取到dump文件。
<provider android:name=".HeapDumpProvider"
android:authorities="com.android.shell.heapdump"
android:grantUriPermissions="true"
- android:exported="true" />
+ android:exported="false" />
CVE-2021-0691
- 在Android 11的SEPolicy中错误地允许了system_app标签写入apk_data_file标签文件,这将导致本地文件写入转化为代码执行,通过写入
/data/app
中某应用的base.apk
或者lib64
下的动态库文件可实现。
# Settings need to access app name and icon from asec
allow system_app asec_apk_file:file r_file_perms;
-# Allow system_app (adb data loader) to write data to /data/incremental
-allow system_app apk_data_file:file write;
-
-# Allow system app (adb data loader) to read logs
-allow system_app incremental_control_file:file r_file_perms;
-
# Allow system apps (like Settings) to interact with statsd
binder_call(system_app, statsd)