CVE-2017-5217

Severity Score

5.5

*CVSS v3

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

*SSVC

Descriptions

Installing a zero-permission Android application on certain Samsung Android devices with KK(4.4), L(5.0/5.1), and M(6.0) software can continually crash the system_server process in the Android OS. The zero-permission app will create an active install session for a separate app that it has embedded within it. The active install session of the embedded app is performed using the android.content.pm.PackageInstaller class and its nested classes in the Android API. The active install session will write the embedded APK file to the /data/app directory, but the app will not be installed since third-party applications cannot programmatically install apps. Samsung has modified AOSP in order to accelerate the parsing of APKs by introducing the com.android.server.pm.PackagePrefetcher class and its nested classes. These classes will parse the APKs present in the /data/app directory and other directories, even if the app is not actually installed. The embedded APK that was written to the /data/app directory via the active install session has a very large but valid AndroidManifest.xml file. Specifically, the AndroidManifest.xml file contains a very large string value for the name of a permission-tree that it declares. When system_server tries to parse the APK file of the embedded app from the active install session, it will crash due to an uncaught error (i.e., java.lang.OutOfMemoryError) or an uncaught exception (i.e., std::bad_alloc) because of memory constraints. The Samsung Android device will encounter a soft reboot due to a system_server crash, and this action will keep repeating since parsing the APKs in the /data/app directory as performed by the system_server process is part of the normal boot process. The Samsung ID is SVE-2016-6917.

La instalación de una aplicación Android de cero permisos en ciertos dispositivos Samsung con software KK(4.4), L(5.0/5.1) y M(6.0) puede bloquear continuamente el proceso system_server en el SO Android. La aplicación de cero permisos creará una sesión de instalación activa para una aplicación separada que tiene embebida. La sesión de instalación activa de la aplicación embebida se realiza usando la clase android.content.pm.PackageInstaller y sus clases anidadas en la API de Android. La instalación activa escribirá el archivo APK embebido en el directorio /data/app, pero la aplicación no se instalará ya que las aplicaciones de terceros no pueden instalar aplicaciones de forma programada. Samsung ha modificado AOSP para acelerar el análisis de APKs introduciendo la clase com.android.server.pm.PackagePrefetcher y sus clases anidadas. Estas clases analizarán las APKs presentes en el directorio /data/app y otros directorios, incluso si la aplicación no está instalada actualmente. El APK embebido que se escribió en el directorio /data/app a través de la sesión de instalación activada tiene un archivo AndroidManifest.xml muy extenso pero válido. Específicamente, el archivo AndroidManifest.xml contiene un valor de cadena muy grande para el nombre de un árbol de permisos que declara. Cuando system_server intenta analizar el archivo APK de la aplicación embebida de la sesión de instalación activa, se bloqueará debido a un error no detectado (java.lang.OutOfMemoryError) o una excepción no detectada (std::bad_alloc) por restricciones de memoria. El dispositivo Samsung Android se encontrará con un reinicio suave debido a un fallo de system_server, y esta acción se repetirá debido a que el análisis de los APK en el directorio /data/app realizado a través de system_server, es parte del funcionamiento normal. La ID de Samsung es SVE-2016-6917.

*Credits: N/A

Attack Vector

Local

Attack Complexity

Low

Privileges Required

None

User Interaction

Required

Scope

Unchanged

Confidentiality

None

Integrity

None

Availability

High

Attack Vector

Network

Attack Complexity

Medium

Authentication

None

Confidentiality

None

Integrity

None

Availability

Complete

* Common Vulnerability Scoring System

SSVC

Decision:-

Exploitation

Automatable

Tech. Impact

* Organization's Worst-case Scenario

Timeline

2017-01-09 CVE Reserved
2017-01-09 CVE Published
2023-03-08 EPSS Updated
2024-08-05 CVE Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-20: Improper Input Validation
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer

CAPEC

References (2)

URL	Tag	Source
http://www.securityfocus.com/bid/95319	Vdb Entry

URL	Date	SRC

URL	Date	SRC

URL	Date	SRC
http://security.samsungmobile.com/smrupdate.html#SMR-JAN-2017	2017-01-11

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Samsung Search vendor "Samsung"		Samsung Mobile Search vendor "Samsung" for product "Samsung Mobile"				4.4 Search vendor "Samsung" for product "Samsung Mobile" and version "4.4"		-		Affected
Samsung Search vendor "Samsung"		Samsung Mobile Search vendor "Samsung" for product "Samsung Mobile"				5.0 Search vendor "Samsung" for product "Samsung Mobile" and version "5.0"		-		Affected
Samsung Search vendor "Samsung"		Samsung Mobile Search vendor "Samsung" for product "Samsung Mobile"				5.1 Search vendor "Samsung" for product "Samsung Mobile" and version "5.1"		-		Affected
Samsung Search vendor "Samsung"		Samsung Mobile Search vendor "Samsung" for product "Samsung Mobile"				6.0 Search vendor "Samsung" for product "Samsung Mobile" and version "6.0"		-		Affected