Android 安全公告 - 2022 年 5 月

發表於 2022 年 5 月 2 日 | 2022 年 5 月 3 日更新

Android 安全公告包含影響 Android 設備的安全漏洞的詳細信息。 2022-05-05 或更高版本的安全補丁級別解決了所有這些問題。要了解如何檢查設備的安全補丁級別,請參閱檢查並更新您的 Android 版本

Android 合作夥伴至少會在發布前一個月收到所有問題的通知。這些問題的源代碼補丁將在接下來的 48 小時內發佈到 Android 開源項目 (AOSP) 存儲庫。我們將在可用時使用 AOSP 鏈接修改此公告。

這些問題中最嚴重的是框架組件中的一個高安全漏洞,它可能導致本地權限升級,需要用戶執行權限。嚴重性評估基於利用漏洞可能對受影響設備產生的影響,假設平台和服務緩解措施已出於開發目的關閉或成功繞過。

有關提高 Android 平台安全性的Android 安全平台保護和 Google Play Protect 的詳細信息,請參閱Android 和 Google Play Protect 緩解措施部分。

Android 和 Google 服務緩解措施

這是Android 安全平台和服務保護(例如Google Play Protect )提供的緩解措施的摘要。這些功能降低了在 Android 上成功利用安全漏洞的可能性。

  • 較新版本的 Android 平台的增強使利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
  • Android 安全團隊通過Google Play Protect主動監控濫用情況,並警告用戶可能有害的應用程序。默認情況下,Google Play Protect 在具有Google 移動服務的設備上啟用,對於從 Google Play 之外安裝應用程序的用戶來說尤其重要。

2022-05-01 安全補丁級別漏洞詳情

在以下部分中,我們提供了適用於 2022-05-01 補丁級別的每個安全漏洞的詳細信息。漏洞被歸類在它們影響的組件之下。下表描述了問題,包括 CVE ID、相關參考、漏洞類型嚴重性和更新的 AOSP 版本(如果適用)。如果可用,我們會將解決問題的公共更改鏈接到錯誤 ID,例如 AOSP 更改列表。當多個更改與單個錯誤相關時,其他參考將鏈接到錯誤 ID 後面的數字。搭載 Android 10 及更高版本的設備可能會收到安全更新以及Google Play 系統更新

框架

本節中最嚴重的漏洞可能導致需要用戶執行權限的本地權限升級。

CVE參考類型嚴重性更新的 AOSP 版本
CVE-2021-39662 A-197302116 EoP高的11、12
CVE-2022-20004 A-179699767 EoP高的10、11、12、12L
CVE-2022-20005 A-219044664 EoP高的10、11、12、12L
CVE-2022-20007 A-211481342 EoP高的10、11、12、12L
CVE-2021-39700 A-201645790 ID緩和10、11、12

系統

本節中最嚴重的漏洞可能導致無需額外執行權限的本地權限升級。

CVE參考類型嚴重性更新的 AOSP 版本
CVE-2022-20113 A-205996517 EoP高的12、12L
CVE-2022-20114 A-211114016 EoP高的10、11、12、12L
CVE-2022-20116 A-212467440 EoP高的12、12L
CVE-2022-20010 A-213519176 ID高的12、12L
CVE-2022-20011 A-214999128 ID高的10、11、12、12L
CVE-2022-20115 A-210118427 ID高的12、12L
CVE-2021-39670 A-204087139拒絕服務高的12、12L
CVE-2022-20112 A-206987762拒絕服務高的10、11、12、12L

谷歌播放系統更新

Project Mainline 組件中包含以下問題。

零件CVE
媒體提供者CVE-2021-39662

2022-05-05 安全補丁級別漏洞詳情

在以下部分中,我們提供了適用於 2022-05-05 補丁級別的每個安全漏洞的詳細信息。漏洞被歸類在它們影響的組件之下。下表描述了問題,包括 CVE ID、相關參考、漏洞類型嚴重性和更新的 AOSP 版本(如果適用)。如果可用,我們會將解決問題的公共更改鏈接到錯誤 ID,例如 AOSP 更改列表。當多個更改與單個錯誤相關時,其他參考將鏈接到錯誤 ID 後面的數字。

內核組件

本節中最嚴重的漏洞可能導致系統庫中的本地權限升級,而無需額外的執行權限。

CVE參考類型嚴重性零件
CVE-2022-0847 A-220741611
上游內核[ 2 ] [ 3 ]
EoP高的管道
CVE-2022-20009 A-213172319
上游內核[ 2 ]
EoP高的Linux
CVE-2022-20008 A-216481035
上游內核[ 2 ] [ 3 ]
ID高的標清 MMC
CVE-2021-22600 A-213464034
上游內核
EoP緩和核心

聯發科組件

這些漏洞會影響聯發科組件,更多詳細信息可直接從聯發科獲得。這些問題的嚴重性評估由聯發科直接提供。

CVE參考嚴重性零件
CVE-2022-20084 A-223071148
M-ALPS06498874 *
高的電話
CVE-2022-20109 A-223072269
M-ALPS06399915 *
高的離子
CVE-2022-20110 A-223071150
M-ALPS06399915 *
高的離子

高通組件

這些漏洞會影響 Qualcomm 組件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。

CVE參考嚴重性零件
CVE-2022-22057 A-218337595
QC-CR#3077687
高的展示
CVE-2022-22064 A-218338071
QC-CR#3042282
QC-CR#3048959
QC-CR#3056532
QC-CR#3049158 [ 2 ]
高的無線局域網
CVE-2022-22065 A-218337597
QC-CR#3042293
QC-CR#3064612
高的無線局域網
CVE-2022-22068 A-218337596
QC-CR#3084983 [ 2 ]
高的核心
CVE-2022-22072 A-218339149
QC-CR#3073345 [ 2 ]
高的無線局域網

高通閉源組件

這些漏洞會影響 Qualcomm 閉源組件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。

CVE參考嚴重性零件
CVE-2021-35090 A-204905205​​ *批判的閉源組件
CVE-2021-35072 A-204905110 *高的閉源組件
CVE-2021-35073 A-204905209 *高的閉源組件
CVE-2021-35076 A-204905151 *高的閉源組件
CVE-2021-35078 A-204905326 *高的閉源組件
CVE-2021-35080 A-204905287 *高的閉源組件
CVE-2021-35086 A-204905289 *高的閉源組件
CVE-2021-35087 A-204905111 *高的閉源組件
CVE-2021-35094 A-204905838 *高的閉源組件
CVE-2021-35096 A-204905290 *高的閉源組件
CVE-2021-35116 A-209469826 *高的閉源組件

內核 LTS

下表描述了安全補丁級別合規性的最低內核版本要求。 Android 啟動版本是指啟動時設備上的 Android 操作系統版本,內核版本是指當前設備上的 Linux 內核版本。

參考安卓操作系統啟動版本內核版本最低更新版本
A-202441831 11 5.4 5.4.147
A-204345773 12 5.4 5.4.147

常見問題和答案

本節回答閱讀本公告後可能出現的常見問題。

1. 如何確定我的設備是否已更新以解決這些問題?

要了解如何檢查設備的安全補丁級別,請參閱檢查並更新您的 Android 版本

  • 2022-05-01 或更高版本的安全補丁程序級別解決了與 2022-05-01 安全補丁程序級別相關的所有問題。
  • 2022-05-05 或更高版本的安全補丁程序級別解決了與 2022-05-05 安全補丁程序級別和所有以前的補丁程序級別相關的所有問題。

包含這些更新的設備製造商應將補丁字符串級別設置為:

  • [ro.build.version.security_patch]:[2022-05-01]
  • [ro.build.version.security_patch]:[2022-05-05]

對於 Android 10 或更高版本的某些設備,Google Play 系統更新將具有與 2022-05-01 安全補丁級別匹配的日期字符串。有關如何安裝安全更新的更多詳細信息,請參閱本文

2. 為什麼這個公告有兩個安全補丁級別?

此公告有兩個安全補丁級別,以便 Android 合作夥伴可以靈活地更快地修復所有 Android 設備中相似的漏洞子集。鼓勵 Android 合作夥伴修復此公告中的所有問題並使用最新的安全補丁級別。

  • 使用 2022-05-01 安全補丁級別的設備必須包含與該安全補丁級別相關的所有問題,以及針對之前安全公告中報告的所有問題的修復。
  • 使用 2022-05-05 或更高級別安全補丁程序的設備必須在此(和以前的)安全公告中包含所有適用的補丁程序。

鼓勵合作夥伴將他們正在解決的所有問題的修復程序捆綁在一次更新中。

3. Type欄中的條目是什麼意思?

漏洞詳細信息表的類型列中的條目引用了安全漏洞的分類。

縮寫定義
RCE遠程代碼執行
EoP特權提升
ID信息披露
拒絕服務拒絕服務
不適用分類不可用

4.參考欄中的條目是什麼意思?

漏洞詳細信息表的參考列下的條目可能包含一個前綴,用於標識參考值所屬的組織。

字首參考
一個- Android 錯誤 ID
質量控制-高通參考號
米-聯發科參考號
N-英偉達參考號
乙-博通參考號
ü- UNISOC 參考號

5. References欄中Android bug ID旁邊的*是什麼意思?

不公開的問題在相應的參考 ID 旁邊有一個 *。該問題的更新通常包含在谷歌開發者網站上最新的 Pixel 設備二進制驅動程序中。

6. 為什麼此公告與設備/合作夥伴安全公告(例如 Pixel 公告)之間存在安全漏洞?

本安全公告中記錄的安全漏洞需要在 Android 設備上聲明最新的安全補丁級別。聲明安全補丁級別不需要設備/合作夥伴安全公告中記錄的其他安全漏洞。 Android 設備和芯片組製造商還可能發布特定於其產品的安全漏洞詳細信息,例如Google華為LGE摩托羅拉諾基亞三星

版本

版本日期筆記
1.0 2022 年 5 月 2 日公告發布
1.1 2022 年 5 月 3 日修訂公告以包括 AOSP 鏈接