Android 安全公告包含影響 Android 裝置的安全漏洞的詳細資訊。 2022 年 5 月 5 日或更高版本的安全性修補程式等級可解決所有這些問題。若要了解如何檢查裝置的安全性修補程式級別,請參閱檢查和更新您的 Android 版本。
Android 合作夥伴至少會在發布前一個月收到有關所有問題的通知。這些問題的源代碼補丁已發佈到 Android 開源專案 (AOSP) 儲存庫,並從此公告連結。此公告還包含 AOSP 之外的補丁的連結。
其中最嚴重的問題是框架元件中的高安全漏洞,可能導致本地權限升級以及所需的使用者執行權限。嚴重性評估是基於利用漏洞可能對受影響設備的影響,假設平台和服務緩解措施出於開發目的而關閉或成功繞過。
有關 Android安全平台保護和Google Play Protect 的詳細信息,請參閱 Android 和 Google Play Protect 緩解措施部分,這些保護可提高 Android 平台的安全性。
Android 和 Google 服務緩解措施
這是Android 安全平台和服務保護(例如Google Play Protect)提供的緩解措施的摘要。這些功能降低了 Android 上安全漏洞被成功利用的可能性。
- 新版 Android 平台的增強功能使得利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
- Android 安全團隊透過Google Play Protect積極監控濫用行為,並向使用者發出潛在有害應用程式的警告。預設情況下,在具有Google 行動服務的裝置上啟用 Google Play Protect,這對於從 Google Play 外部安裝應用程式的使用者尤其重要。
2022-05-01 安全修補程式等級漏洞詳情
在下面的部分中,我們提供了適用於 2022 年 5 月 1 日修補程式等級的每個安全漏洞的詳細資訊。漏洞按其影響的組件進行分組。下表描述了問題,包括 CVE ID、相關參考文獻、漏洞類型、嚴重性和更新的 AOSP 版本(如果適用)。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。搭載 Android 10 及更高版本的裝置可能會收到安全性更新以及Google Play 系統更新。
框架
本節中最嚴重的漏洞可能會導致本地權限升級並需要使用者執行權限。
| CVE | 參考 | 類型 | 嚴重程度 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2021-39662 | A-197302116 | 結束時間 | 高的 | 11, 12 |
| CVE-2022-20004 | A-179699767 | 結束時間 | 高的 | 10, 11, 12, 12L |
| CVE-2022-20005 | A-219044664 | 結束時間 | 高的 | 10, 11, 12, 12L |
| CVE-2022-20007 | A-211481342 | 結束時間 | 高的 | 10, 11, 12, 12L |
| CVE-2021-39700 | A-201645790 | ID | 緩和 | 10、11、12 |
系統
本節中最嚴重的漏洞可能會導致本地權限升級,而無需額外的執行權限。
| CVE | 參考 | 類型 | 嚴重程度 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2022-20113 | A-205996517 | 結束時間 | 高的 | 12、12升 |
| CVE-2022-20114 | A-211114016 | 結束時間 | 高的 | 10, 11, 12, 12L |
| CVE-2022-20116 | A-212467440 | 結束時間 | 高的 | 12、12升 |
| CVE-2022-20010 | A-213519176 | ID | 高的 | 12、12升 |
| CVE-2022-20011 | A-214999128 | ID | 高的 | 10, 11, 12, 12L |
| CVE-2022-20115 | A-210118427 | ID | 高的 | 12、12升 |
| CVE-2021-39670 | A-204087139 | 拒絕服務 | 高的 | 12、12升 |
| CVE-2022-20112 | A-206987762 | 拒絕服務 | 高的 | 10, 11, 12, 12L |
Google Play 系統更新
Project Mainline 元件中包含以下問題。
| 成分 | CVE |
|---|---|
| 媒體提供者 | CVE-2021-39662 |
2022-05-05 安全修補程式等級漏洞詳情
在下面的部分中,我們提供了適用於 2022-05-05 修補程式等級的每個安全漏洞的詳細資訊。漏洞按其影響的組件進行分組。下表描述了問題,包括 CVE ID、相關參考文獻、漏洞類型、嚴重性和更新的 AOSP 版本(如果適用)。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。
核心元件
本節中最嚴重的漏洞可能會導致系統庫中的本地權限升級,而無需額外的執行權限。
| CVE | 參考 | 類型 | 嚴重程度 | 成分 |
|---|---|---|---|---|
| CVE-2022-0847 | A-220741611 上游內核[ 2 ] [ 3 ] | 結束時間 | 高的 | 管道 |
| CVE-2022-20009 | A-213172319 上游內核[ 2 ] | 結束時間 | 高的 | Linux |
| CVE-2022-20008 | A-216481035 上游內核[ 2 ] [ 3 ] | ID | 高的 | 標清多媒體卡 |
| CVE-2021-22600 | A-213464034 上游內核 | 結束時間 | 緩和 | 核心 |
聯發科技組件
這些漏洞影響 MediaTek 元件,可直接從 MediaTek 取得更多詳細資訊。這些問題的嚴重性評估由聯發科直接提供。
| CVE | 參考 | 嚴重程度 | 成分 |
|---|---|---|---|
| CVE-2022-20084 | A-223071148 M-ALPS06498874 * | 高的 | 電話 |
| CVE-2022-20109 | A-223072269 M-ALPS06399915 * | 高的 | 離子 |
| CVE-2022-20110 | A-223071150 M-ALPS06399915 * | 高的 | 離子 |
高通組件
這些漏洞影響 Qualcomm 元件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。
| CVE | 參考 | 嚴重程度 | 成分 |
|---|---|---|---|
| CVE-2022-22057 | A-218337595 QC-CR#3077687 | 高的 | 展示 |
| CVE-2022-22064 | A-218338071 QC-CR#3042282 QC-CR#3048959 QC-CR#3056532 QC-CR#3049158 [ 2 ] | 高的 | 無線區域網路 |
| CVE-2022-22065 | A-218337597 QC-CR#3042293 QC-CR#3064612 | 高的 | 無線區域網路 |
| CVE-2022-22068 | A-218337596 QC-CR#3084983 [ 2 ] | 高的 | 核心 |
| CVE-2022-22072 | A-218339149 QC-CR#3073345 [ 2 ] | 高的 | 無線區域網路 |
高通閉源元件
這些漏洞影響 Qualcomm 封閉源元件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。
| CVE | 參考 | 嚴重程度 | 成分 |
|---|---|---|---|
| CVE-2021-35090 | A-204905205 * | 批判的 | 閉源元件 |
| CVE-2021-35072 | A-204905110 * | 高的 | 閉源元件 |
| CVE-2021-35073 | A-204905209 * | 高的 | 閉源元件 |
| CVE-2021-35076 | A-204905151 * | 高的 | 閉源元件 |
| CVE-2021-35078 | A-204905326 * | 高的 | 閉源元件 |
| CVE-2021-35080 | A-204905287 * | 高的 | 閉源元件 |
| CVE-2021-35086 | A-204905289 * | 高的 | 閉源元件 |
| CVE-2021-35087 | A-204905111 * | 高的 | 閉源元件 |
| CVE-2021-35094 | A-204905838 * | 高的 | 閉源元件 |
| CVE-2021-35096 | A-204905290 * | 高的 | 閉源元件 |
| CVE-2021-35116 | A-209469826 * | 高的 | 閉源元件 |
核心長期支援
下表描述了安全修補程式等級合規性的最低核心版本要求。 Android 啟動版本是指啟動時裝置上的 Android 作業系統版本,核心版本是指裝置上目前的 Linux 核心版本。
| 參考 | Android 作業系統發布版本 | 核心版本 | 最低更新版本 |
|---|---|---|---|
| A-202441831 | 11 | 5.4 | 5.4.147 |
| A-204345773 | 12 | 5.4 | 5.4.147 |
常見問題及解答
本節回答閱讀本公告後可能出現的常見問題。
1. 如何確定我的裝置是否已更新以解決這些問題?
若要了解如何檢查裝置的安全性修補程式級別,請參閱檢查和更新您的 Android 版本。
- 2022-05-01 或更高版本的安全性修補程式等級解決了與 2022-05-01 安全性修補程式等級相關的所有問題。
- 2022-05-05 或更高版本的安全性修補程式等級解決了與 2022-05-05 安全性修補程式等級和所有先前修補程式等級相關的所有問題。
包含這些更新的裝置製造商應將補丁字串層級設定為:
- [ro.build.version.security_patch]:[2022-05-01]
- [ro.build.version.security_patch]:[2022-05-05]
對於某些運行 Android 10 或更高版本的設備,Google Play 系統更新將具有與 2022-05-01 安全性修補程式等級相符的日期字串。有關如何安裝安全更新的更多詳細信息,請參閱本文。
2. 為什麼本公告有兩個安全修補程式等級?
此公告有兩個安全修補程式級別,以便 Android 合作夥伴能夠靈活地更快地修復所有 Android 裝置上相似的漏洞子集。我們鼓勵 Android 合作夥伴修復本公告中的所有問題並使用最新的安全性修補程式等級。
- 使用 2022-05-01 安全性修補程式等級的裝置必須包含與該安全性修補程式等級相關的所有問題,以及先前安全性公告中報告的所有問題的修復程序。
- 使用 2022-05-05 或更高版本安全性修補程式等級的裝置必須包含本(和先前)安全性公告中的所有適用修補程式。
我們鼓勵合作夥伴將他們正在解決的所有問題的修復程式捆綁在一次更新中。
3.類型欄中的條目是什麼意思?
漏洞詳細資料表的「類型」欄位中的條目引用安全漏洞的分類。
| 縮寫 | 定義 |
|---|---|
| 遠端程式碼執行 | 遠端程式碼執行 |
| 結束時間 | 特權提升 |
| ID | 資訊揭露 |
| 拒絕服務 | 拒絕服務 |
| 不適用 | 分類不可用 |
4.參考文獻欄中的條目是什麼意思?
漏洞詳細資料表的參考列下的條目可能包含標識引用值所屬組織的前綴。
| 字首 | 參考 |
|---|---|
| A- | 安卓錯誤 ID |
| QC- | 高通參考號 |
| M- | 聯發科參考號 |
| N- | NVIDIA 參考號 |
| B- | 博通參考號 |
| U- | 紫光展銳參考號 |
5.參考資料欄中 Android bug ID 旁邊的 * 是什麼意思?
未公開發布的問題在相應的參考 ID 旁邊有一個 *。此問題的更新通常包含在Google 開發者網站上提供的 Pixel 裝置的最新二進位驅動程式中。
6. 為什麼安全漏洞會分為本公告和設備/合作夥伴安全公告(例如 Pixel 公告)?
本安全公告中記錄的安全漏洞需要在 Android 裝置上聲明最新的安全修補程式等級。聲明安全修補程式等級不需要設備/合作夥伴安全公告中記錄的其他安全漏洞。 Android 裝置和晶片組製造商還可能發布特定於其產品的安全漏洞詳細信息,例如Google 、華為、 LGE 、摩托羅拉、諾基亞或三星。
版本
| 版本 | 日期 | 筆記 |
|---|---|---|
| 1.0 | 2022 年 5 月 2 日 | 公告發布 |
| 1.1 | 2022 年 5 月 3 日 | 公告已修訂以包含 AOSP 鏈接 |