Android 安全公告包含影響 Android 設備的安全漏洞的詳細信息。 2022-05-05 或更高版本的安全補丁級別解決了所有這些問題。要了解如何檢查設備的安全補丁級別,請參閱檢查並更新您的 Android 版本。
Android 合作夥伴至少會在發布前一個月收到所有問題的通知。這些問題的源代碼補丁已發佈到 Android 開源項目 (AOSP) 存儲庫,並鏈接自此公告。此公告還包括指向 AOSP 之外的補丁程序的鏈接。
這些問題中最嚴重的是框架組件中的一個高安全漏洞,它可能導致本地權限升級,需要用戶執行權限。嚴重性評估基於利用漏洞可能對受影響設備產生的影響,假設平台和服務緩解措施已出於開發目的關閉或成功繞過。
有關提高 Android 平台安全性的Android 安全平台保護和 Google Play Protect 的詳細信息,請參閱Android 和 Google Play Protect 緩解措施部分。
Android 和 Google 服務緩解措施
這是Android 安全平台和服務保護(例如Google Play Protect )提供的緩解措施的摘要。這些功能降低了在 Android 上成功利用安全漏洞的可能性。
- 較新版本的 Android 平台的增強使利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
- Android 安全團隊通過Google Play Protect主動監控濫用情況,並警告用戶可能有害的應用程序。默認情況下,Google Play Protect 在具有Google 移動服務的設備上啟用,對於從 Google Play 之外安裝應用程序的用戶來說尤其重要。
2022-05-01 安全補丁級別漏洞詳情
在以下部分中,我們提供了適用於 2022-05-01 補丁級別的每個安全漏洞的詳細信息。漏洞被歸類在它們影響的組件之下。下表描述了問題,包括 CVE ID、相關參考、漏洞類型、嚴重性和更新的 AOSP 版本(如果適用)。如果可用,我們會將解決問題的公共更改鏈接到錯誤 ID,例如 AOSP 更改列表。當多個更改與單個錯誤相關時,其他參考將鏈接到錯誤 ID 後面的數字。搭載 Android 10 及更高版本的設備可能會收到安全更新以及Google Play 系統更新。
框架
本節中最嚴重的漏洞可能導致需要用戶執行權限的本地權限升級。
| CVE | 參考 | 類型 | 嚴重性 | 更新的 AOSP 版本 |
|---|---|---|---|---|
| CVE-2021-39662 | A-197302116 | EoP | 高的 | 11、12 |
| CVE-2022-20004 | A-179699767 | EoP | 高的 | 10、11、12、12L |
| CVE-2022-20005 | A-219044664 | EoP | 高的 | 10、11、12、12L |
| CVE-2022-20007 | A-211481342 | EoP | 高的 | 10、11、12、12L |
| CVE-2021-39700 | A-201645790 | ID | 緩和 | 10、11、12 |
系統
本節中最嚴重的漏洞可能導致無需額外執行權限的本地權限升級。
| CVE | 參考 | 類型 | 嚴重性 | 更新的 AOSP 版本 |
|---|---|---|---|---|
| CVE-2022-20113 | A-205996517 | EoP | 高的 | 12、12L |
| CVE-2022-20114 | A-211114016 | EoP | 高的 | 10、11、12、12L |
| CVE-2022-20116 | A-212467440 | EoP | 高的 | 12、12L |
| CVE-2022-20010 | A-213519176 | ID | 高的 | 12、12L |
| CVE-2022-20011 | A-214999128 | ID | 高的 | 10、11、12、12L |
| CVE-2022-20115 | A-210118427 | ID | 高的 | 12、12L |
| CVE-2021-39670 | A-204087139 | 拒絕服務 | 高的 | 12、12L |
| CVE-2022-20112 | A-206987762 | 拒絕服務 | 高的 | 10、11、12、12L |
谷歌播放系統更新
Project Mainline 組件中包含以下問題。
| 零件 | CVE |
|---|---|
| 媒體提供者 | CVE-2021-39662 |
2022-05-05 安全補丁級別漏洞詳情
在以下部分中,我們提供了適用於 2022-05-05 補丁級別的每個安全漏洞的詳細信息。漏洞被歸類在它們影響的組件之下。下表描述了問題,包括 CVE ID、相關參考、漏洞類型、嚴重性和更新的 AOSP 版本(如果適用)。如果可用,我們會將解決問題的公共更改鏈接到錯誤 ID,例如 AOSP 更改列表。當多個更改與單個錯誤相關時,其他參考將鏈接到錯誤 ID 後面的數字。
內核組件
本節中最嚴重的漏洞可能導致系統庫中的本地權限升級,而無需額外的執行權限。
| CVE | 參考 | 類型 | 嚴重性 | 零件 |
|---|---|---|---|---|
| CVE-2022-0847 | A-220741611 上游內核[ 2 ] [ 3 ] | EoP | 高的 | 管道 |
| CVE-2022-20009 | A-213172319 上游內核[ 2 ] | EoP | 高的 | Linux |
| CVE-2022-20008 | A-216481035 上游內核[ 2 ] [ 3 ] | ID | 高的 | 標清 MMC |
| CVE-2021-22600 | A-213464034 上游內核 | EoP | 緩和 | 核心 |
聯發科組件
這些漏洞會影響聯發科組件,更多詳細信息可直接從聯發科獲得。這些問題的嚴重性評估由聯發科直接提供。
| CVE | 參考 | 嚴重性 | 零件 |
|---|---|---|---|
| CVE-2022-20084 | A-223071148 M-ALPS06498874 * | 高的 | 電話 |
| CVE-2022-20109 | A-223072269 M-ALPS06399915 * | 高的 | 離子 |
| CVE-2022-20110 | A-223071150 M-ALPS06399915 * | 高的 | 離子 |
高通組件
這些漏洞會影響 Qualcomm 組件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。
| CVE | 參考 | 嚴重性 | 零件 |
|---|---|---|---|
| CVE-2022-22057 | A-218337595 QC-CR#3077687 | 高的 | 展示 |
| CVE-2022-22064 | A-218338071 QC-CR#3042282 QC-CR#3048959 QC-CR#3056532 QC-CR#3049158 [ 2 ] | 高的 | 無線局域網 |
| CVE-2022-22065 | A-218337597 QC-CR#3042293 QC-CR#3064612 | 高的 | 無線局域網 |
| CVE-2022-22068 | A-218337596 QC-CR#3084983 [ 2 ] | 高的 | 核心 |
| CVE-2022-22072 | A-218339149 QC-CR#3073345 [ 2 ] | 高的 | 無線局域網 |
高通閉源組件
這些漏洞會影響 Qualcomm 閉源組件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。
| CVE | 參考 | 嚴重性 | 零件 |
|---|---|---|---|
| CVE-2021-35090 | A-204905205 * | 批判的 | 閉源組件 |
| CVE-2021-35072 | A-204905110 * | 高的 | 閉源組件 |
| CVE-2021-35073 | A-204905209 * | 高的 | 閉源組件 |
| CVE-2021-35076 | A-204905151 * | 高的 | 閉源組件 |
| CVE-2021-35078 | A-204905326 * | 高的 | 閉源組件 |
| CVE-2021-35080 | A-204905287 * | 高的 | 閉源組件 |
| CVE-2021-35086 | A-204905289 * | 高的 | 閉源組件 |
| CVE-2021-35087 | A-204905111 * | 高的 | 閉源組件 |
| CVE-2021-35094 | A-204905838 * | 高的 | 閉源組件 |
| CVE-2021-35096 | A-204905290 * | 高的 | 閉源組件 |
| CVE-2021-35116 | A-209469826 * | 高的 | 閉源組件 |
內核 LTS
下表描述了安全補丁級別合規性的最低內核版本要求。 Android 啟動版本是指啟動時設備上的 Android 操作系統版本,內核版本是指當前設備上的 Linux 內核版本。
| 參考 | 安卓操作系統啟動版本 | 內核版本 | 最低更新版本 |
|---|---|---|---|
| A-202441831 | 11 | 5.4 | 5.4.147 |
| A-204345773 | 12 | 5.4 | 5.4.147 |
常見問題和答案
本節回答閱讀本公告後可能出現的常見問題。
1. 如何確定我的設備是否已更新以解決這些問題?
要了解如何檢查設備的安全補丁級別,請參閱檢查並更新您的 Android 版本。
- 2022-05-01 或更高版本的安全補丁程序級別解決了與 2022-05-01 安全補丁程序級別相關的所有問題。
- 2022-05-05 或更高版本的安全補丁程序級別解決了與 2022-05-05 安全補丁程序級別和所有以前的補丁程序級別相關的所有問題。
包含這些更新的設備製造商應將補丁字符串級別設置為:
- [ro.build.version.security_patch]:[2022-05-01]
- [ro.build.version.security_patch]:[2022-05-05]
對於 Android 10 或更高版本的某些設備,Google Play 系統更新將具有與 2022-05-01 安全補丁級別匹配的日期字符串。有關如何安裝安全更新的更多詳細信息,請參閱本文。
2. 為什麼這個公告有兩個安全補丁級別?
此公告有兩個安全補丁級別,以便 Android 合作夥伴可以靈活地更快地修復所有 Android 設備中相似的漏洞子集。鼓勵 Android 合作夥伴修復此公告中的所有問題並使用最新的安全補丁級別。
- 使用 2022-05-01 安全補丁級別的設備必須包含與該安全補丁級別相關的所有問題,以及針對之前安全公告中報告的所有問題的修復。
- 使用 2022-05-05 或更高級別安全補丁程序的設備必須在此(和以前的)安全公告中包含所有適用的補丁程序。
鼓勵合作夥伴將他們正在解決的所有問題的修復程序捆綁在一次更新中。
3. Type欄中的條目是什麼意思?
漏洞詳細信息表的類型列中的條目引用了安全漏洞的分類。
| 縮寫 | 定義 |
|---|---|
| RCE | 遠程代碼執行 |
| EoP | 特權提升 |
| ID | 信息披露 |
| 拒絕服務 | 拒絕服務 |
| 不適用 | 分類不可用 |
4.參考欄中的條目是什麼意思?
漏洞詳細信息表的參考列下的條目可能包含一個前綴,用於標識參考值所屬的組織。
| 字首 | 參考 |
|---|---|
| 一個- | Android 錯誤 ID |
| 質量控制- | 高通參考號 |
| 米- | 聯發科參考號 |
| N- | 英偉達參考號 |
| 乙- | 博通參考號 |
| ü- | UNISOC 參考號 |
5. References欄中Android bug ID旁邊的*是什麼意思?
不公開的問題在相應的參考 ID 旁邊有一個 *。該問題的更新通常包含在谷歌開發者網站上最新的 Pixel 設備二進制驅動程序中。
6. 為什麼此公告與設備/合作夥伴安全公告(例如 Pixel 公告)之間存在安全漏洞?
本安全公告中記錄的安全漏洞需要在 Android 設備上聲明最新的安全補丁級別。聲明安全補丁級別不需要設備/合作夥伴安全公告中記錄的其他安全漏洞。 Android 設備和芯片組製造商還可能發布特定於其產品的安全漏洞詳細信息,例如Google 、華為、 LGE 、摩托羅拉、諾基亞或三星。
版本
| 版本 | 日期 | 筆記 |
|---|---|---|
| 1.0 | 2022 年 5 月 2 日 | 公告發布 |
| 1.1 | 2022 年 5 月 3 日 | 修訂公告以包括 AOSP 鏈接 |