Android Security Bulletin Analysis (December 2022)
2022-12-01 security patch level vulnerability details
Android Runtime
- ART模块中处理dex_caches_时的UAF问题。当使用openDexFile的时候,class linker会缓存dex文件地址到dexcaches,但这closeDexFile时将其释放并且未从dex_caches_中移除,当其他线程遍历访问dex_caches_时会造成UAF。
Framework
- minikin中registerLocaleList中的越界读取
- minikin中registerLocaleList中的越界
- SurfaceFlinger中DrawingState::trustedOverlay未初始化的问题,可能会被随机初始化为true。
- isDataOrObbPath只禁止访问Android/[data|obb]自身,而不会直接禁止访问其子目录,子目录的访问权限由应用自身决定。
- AppWidgetManager中的bindRemoteViewsService方法,调用bindService时候指定BIND_FOREGROUND_SERVICE_WHILE_AWAKE flag,防止绕过后台Activity启动限制,待具体分析。
- 在AccountManagerService中新增对KEY_INTENT二次序列化对检查(Bundle序列化问题),并且修复了Android 13中readLazyValue允许接受字段长度为负数导致读取游标向前回滚的漏洞。
allowTaskReparenting导致Activity劫持的问题,现在仅允许当前应用TaskAffinity和目标Task的TaskAffinity相同时才允许栈重排(不是很理解,有待进一步测试)。
- 在锁屏上隐藏标记为VISIBILITY_SECRET的通知,这个问题仅影响Android 13,而且是以前版本正常的功能,可能是大版本迭代时候不小心引入。
- 限制NotificationChannel和NotificationChannelGroup中部分字段的长度,一共给了九个CVE编号,本部分有三个。
- 禁止卸载被保护的包,这个是针对在网上广为流传的一种
pm uninstall --user 0的方式的修复。
- 将Account的Name和Type的字符数限制为200以内的检查,从
Account.java(客户端)移动到AccountManagerService.java(服务端),防止被绕过。
- UserManagerService中
setApplicationRestrictions函数的路径穿越问题。
- 把每个应用能注册的NotificationChannel数量由50000降低到5000。
Media Framework
- libstagefright的NuMediaExtractor中的堆上的UAF。
System
- 蓝牙组件拷贝AVDT和AVCT包的越界写入,添加长度检查
- libfdt中fdt_path_offset_namelen函数的越界读取
- Avatar Picker存在越权读取照片的问题,这次出在EmergencyInfo中。
- 禁止特权应用绕过位置限制,并且允许system_server绕过位置限制(用于restricted user)。
- 限制NotificationChannel和NotificationChannelGroup中部分字段的长度,一共给了九个CVE编号,本部分有六个。
- 对EnableAccountPreferenceActivity界面添加
SYSTEM_FLAG_HIDE_NON_SYSTEM_OVERLAY_WINDOWS标志,防止悬浮窗劫持攻击。
- 禁止ChooseLockPassword界面被投射到远程视图(RemoteView)上,添加FLAG_SECURE标志,由于在Android 13中更难打开悬浮窗权限,所以在13上级别为中,其他系统级别是高。
- 可能在锁屏上显示敏感通知内容,CL里写的逻辑比较复杂。