最近，在进行 Android 源码审计的时候，发现了存着于高通声卡驱动中的一个条件竞争漏洞 CVE-2017-7368（CNVD-2017-10809，CNNVD-201704-037）。虽然审计的源码稍微有点过时，谷歌在六月份已经修复了该漏洞，但是整个漏洞发现的过程和漏洞的分析还是比较有意义的。本文首先介绍高通声卡的攻击面和攻击向量，然后详细分析该漏洞成因，最后给出 POC。 [出自:jiwo.org]

0x1 攻击面和攻击向量

Android 是基于 Linux 的移动操作系统，其基本架构如下图：

其中，驱动位于 Linux 内核层，驱动程序是一个软件组件，可以让操作系统和设备彼此通信。驱动程序会创建一些接口，允许用户从用户空间访问，以便控制硬件。如果驱动程序中存着漏洞，用户就可以从用户权限提升到内核权限，也就是 root 权限。

Linux 驱动程序一般会在/dev目录下创建一些文件，然后用户可以打开这些文件，通过 ioctl 函数控制硬件。其中，声卡创建的文件在/dev/snd目录下，如下图：

声卡驱动一般是由第三方厂商实现，如果采用高通的芯片，那么声卡驱动就是由高通提供，而第三方厂商的代码更容易出现一些安全漏洞。因此高通的声卡驱动是一个非常好的攻击面，ioctl 函数就是这个攻击面的攻击向量。

0x2 漏洞分析

出现漏洞的代码位于sound/soc/msm/qdsp6v2/msm-lsm-client.c：

用户空间通过打开/dev/snd/目录下的对应文件，然后设置 ioctl 函数的 cmd 参数为SNDRV_LSM_REG_SND_MODEL_V2，就会进入这块代码。

问题主要出现在 767 行和 775 行，第 767 行驱动程序为ptrd->lsm_client分配snd_model_v2.data_size长度的内核空间，然后将snd_model_v2.data（用户空间数据）拷贝到分配的内核空间里。其中，snd_model_v2是用户空间传入的参数，snd_model_v2.data_size和snd_model_v2.data都是用户可以控制的，ptrd->lsm_client是一个全局变量。这段代码如果单线程执行，并不存在什么问题，分配了snd_model_v2.data_size长度的内核空间，并从用户空间拷贝对应长度的用户空间数据，不会出现越界。但这里的ptrd->lsm_client是一个全局变量，如果多线程运行，就会出现一些问题。

这里，我们假设有两个线程，线程 A 和线程 B。

1. 假设线程 A 请求分配 2000 个字节的空间，这时内核执行到 767 行为ptrd->lsm_client分配了 2000 字节，ptrd->lsm_client的长度为 2000，这时线程 A 挂起，执行线程 B。

2. 线程 B 请求分配 1000 个字节的空间，这时内核执行到 767 行为ptrd->lsm_client分配了 1000 字节，ptrd->lsm_client的长度为 1000，这时线程 B 挂起，执行线程 A。

3. 线程 A 继续执行到 775 行，进行数据拷贝，此时ptrd->lsm_client的长度已经变成了 1000，而线程 A 并不知情，依然拷贝 2000 个字节到ptrd->lsm_client，这时就会出现一个堆的溢出。

但是，这种情况并不一定会出现，只有一定的概率出现。不过，如果请求的次数足够多，这种情况就会出现。

漏洞修补方案比较简单，增加一个锁即可。