CRITICAL🇬🇧 English

CVE-2017-13322

Android: błąd logiczny w PhoneInterfaceManager blokuje dostęp do służb ratunkowych

CVSS 10.0v4.0pub. 2025-01-17upd. 2025-03-13

Podatność w metodzie endCallForSubscriber w pliku PhoneInterfaceManager.java systemu Android umożliwia lokalne zablokowanie dostępu do usług alarmowych (numery ratunkowe). Ze względu na możliwość uniemożliwienia kontaktu ze służbami ratunkowymi w sytuacji zagrożenia, podatność jest oceniana jako krytyczna.

Pokaż oryginał (EN)

In endCallForSubscriber of PhoneInterfaceManager.java, there is a possible way to prevent access to emergency services due to a logic error in the code. This could lead to a local denial of service with no additional execution privileges needed. User interaction is not needed for exploitation.

🤖 Analiza AI
Jak działa

Błąd logiczny w kodzie metody endCallForSubscriber powoduje nieprawidłowe zakończenie połączeń subskrybenta. Wykorzystanie podatności nie wymaga żadnych dodatkowych uprawnień wykonawczych ani interakcji ze strony użytkownika. W wyniku błędu możliwe jest doprowadzenie do stanu, w którym urządzenie traci zdolność realizowania połączeń z numerami alarmowymi.

Skutki

Atakujący może lokalnie zablokować dostęp do usług alarmowych na urządzeniu ofiary, co w sytuacji zagrożenia życia może uniemożliwić wezwanie pomocy. Jest to lokalna odmowa usługi (local DoS) wpływająca na krytyczną funkcjonalność systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Google Pixel z dnia 2018-05-01 (https://source.android.com/security/bulletin/pixel/2018-05-01)

Kogo dotyczy

Google Android — wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Pixel z maja 2018)

Uwagi

Podatność została ujawniona publicznie dopiero 2025-01-17, natomiast patch został wydany przez Google w ramach biuletynu bezpieczeństwa Pixel w maju 2018 roku. CWE-783 wskazuje na błąd w operatorze warunkowym. Podatność dotyczy wyłącznie urządzeń z systemem Android obsługujących usługi telefoniczne.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Google Android

    OS
    Google
    6.06.0.17.07.1.17.1.28.08.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje

Powiązane podatności

CVE-2020-16010CRITICAL9.6⚠ KEVten sam produkt

Heap buffer overflow in UI in Google Chrome on Android prior to 86.0.4240.185 allowed a remote attacker who ha...

CVE-2016-1019CRITICAL9.8⚠ KEVten sam produkt

Adobe Flash Player 21.0.0.197 and earlier allows remote attackers to cause a denial of service (application cr...

CVE-2026-13852CRITICAL9.1ten sam produkt

Insufficient validation of untrusted input in WebAppInstalls in Google Chrome on Android prior to 150.0.7871.4...

CVE-2026-13851CRITICAL9.1ten sam produkt

Insufficient validation of untrusted input in WebAppInstalls in Google Chrome on Android prior to 150.0.7871.4...

CVE-2026-14106CRITICAL9.6ten sam produkt

Insufficient validation of untrusted input in Text in Google Chrome on Android prior to 150.0.7871.47 allowed ...