Android Security Bulletin Analysis (September 2021)

2021-09-01 security patch level vulnerability details

Framework

CVE-2021-0687

  • Layout导致的远程拒绝服务漏洞,具体细节仍在调查中(与发现者交流)

CVE-2021-0595

CVE-2021-0683

  • am命令的dumpheap功能存在任意文件删除漏洞,会以system_server的身份删除攻击者指定文件名的文件
int runTraceIpcStop(PrintWriter pw) throws RemoteException {
    final PrintWriter err = getErrPrintWriter();
    String opt;
    String filename = null;
    while ((opt=getNextOption()) != null) {
        if (opt.equals("--dump-file")) {
            filename = getNextArgRequired();
        } else {
            err.println("Error: Unknown option: " + opt);
            return -1;
        }
    }
    if (filename == null) {
        err.println("Error: Specify filename to dump logs to.");
        return -1;
    }
    File file = new File(filename);
    file.delete();
    //...
}

CVE-2021-0684

CVE-2021-0685

  • 移除了ParsedIntentInfo的Parcelable Creator,避免在Parcel传递数组时的size不匹配导致的错误。

CVE-2021-0688

  • 锁定屏幕的lockNow和updateLockscreenTimeout存在条件竞争,可能导致在lockNow执行后未立即锁屏,而是锁屏超时时间被updateLockscreenTimeout的结果覆盖。

CVE-2021-0686

  • getDefaultSmsPackage接口添加跨用户检查。

Media Framework

CVE-2021-0689

CVE-2021-0690

System

CVE-2021-0598

  • NFC的确认连接界面ConfirmConnectActivity增加SYSTEM_FLAG_HIDE_NON_SYSTEM_OVERLAY_WINDOWS标志

CVE-2021-0692

  • 对FirstScreenBroadcast的PendingIntent设置FLAG_IMMUTABLE标志

CVE-2021-0428

  • SubscriptionController和SubscriptionInfo中多个接口存在标识符泄露漏洞,包括以下接口:
    • SubscriptionInfo.getCardString
    • SubscriptionInfo.getIccId
    • SubscriptionController.getSubscriptionInfoListFromCacheHelper

CVE-2021-0644

  • SubscriptionInfo的mGroupUUID字段可被仅有READ_PHONE_STATE权限的应用用于不可重置的标识符,要求具有READ_DEVICE_IDENTIFIERS的权限才能访问此字段。

CVE-2021-0682

CVE-2021-0693

  • Shell应用(com.android.shell)的HeapDumpProvider对外暴露,会导致在开发者选项中点击“收集堆转储信息”后,被第三方应用直接读取到dump文件。
         <provider android:name=".HeapDumpProvider"
                   android:authorities="com.android.shell.heapdump"
                   android:grantUriPermissions="true"
-                  android:exported="true" />
+                  android:exported="false" />

CVE-2021-0691

  • 在Android 11的SEPolicy中错误地允许了system_app标签写入apk_data_file标签文件,这将导致本地文件写入转化为代码执行,通过写入/data/app中某应用的base.apk或者lib64下的动态库文件可实现。
 # Settings need to access app name and icon from asec
 allow system_app asec_apk_file:file r_file_perms;
 
-# Allow system_app (adb data loader) to write data to /data/incremental
-allow system_app apk_data_file:file write;
-
-# Allow system app (adb data loader) to read logs
-allow system_app incremental_control_file:file r_file_perms;
-
 # Allow system apps (like Settings) to interact with statsd
 binder_call(system_app, statsd)

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注