Google 致力于为黑人社区推动种族平等。查看具体举措

Android 安全公告 - 2022 年 5 月

发表于 2022 年 5 月 2 日 | 2022 年 5 月 3 日更新

Android 安全公告包含影响 Android 设备的安全漏洞的详细信息。 2022-05-05 或更高版本的安全补丁级别解决了所有这些问题。要了解如何检查设备的安全补丁级别,请参阅检查并更新您的 Android 版本

Android 合作伙伴至少会在发布前一个月收到所有问题的通知。这些问题的源代码补丁将在接下来的 48 小时内发布到 Android 开源项目 (AOSP) 存储库。我们将在可用时使用 AOSP 链接修改此公告。

这些问题中最严重的是框架组件中的一个高安全漏洞,它可能导致本地权限升级,需要用户执行权限。严重性评估基于利用漏洞可能对受影响设备产生的影响,假设平台和服务缓解措施已出于开发目的关闭或成功绕过。

有关提高 Android 平台安全性的Android 安全平台保护和 Google Play Protect 的详细信息,请参阅Android 和 Google Play Protect 缓解措施部分。

Android 和 Google 服务缓解措施

这是Android 安全平台和服务保护(例如Google Play Protect )提供的缓解措施的摘要。这些功能降低了在 Android 上成功利用安全漏洞的可能性。

  • 较新版本的 Android 平台的增强使利用 Android 上的许多问题变得更加困难。我们鼓励所有用户尽可能更新到最新版本的 Android。
  • Android 安全团队通过Google Play Protect主动监控滥用情况,并警告用户可能有害的应用程序。默认情况下,Google Play Protect 在具有Google 移动服务的设备上启用,对于从 Google Play 之外安装应用程序的用户来说尤其重要。

2022-05-01 安全补丁级别漏洞详情

在以下部分中,我们提供了适用于 2022-05-01 补丁级别的每个安全漏洞的详细信息。漏洞被归类在它们影响的组件之下。下表描述了问题,包括 CVE ID、相关参考、漏洞类型严重性和更新的 AOSP 版本(如果适用)。如果可用,我们会将解决问题的公共更改链接到错误 ID,例如 AOSP 更改列表。当多个更改与单个错误相关时,其他参考将链接到错误 ID 后面的数字。搭载 Android 10 及更高版本的设备可能会收到安全更新以及Google Play 系统更新

框架

本节中最严重的漏洞可能导致需要用户执行权限的本地权限升级。

CVE参考类型严重性更新的 AOSP 版本
CVE-2021-39662 A-197302116 EoP高的11、12
CVE-2022-20004 A-179699767 EoP高的10、11、12、12L
CVE-2022-20005 A-219044664 EoP高的10、11、12、12L
CVE-2022-20007 A-211481342 EoP高的10、11、12、12L
CVE-2021-39700 A-201645790 ID缓和10、11、12

系统

本节中最严重的漏洞可能导致无需额外执行权限的本地权限升级。

CVE参考类型严重性更新的 AOSP 版本
CVE-2022-20113 A-205996517 EoP高的12、12L
CVE-2022-20114 A-211114016 EoP高的10、11、12、12L
CVE-2022-20116 A-212467440 EoP高的12、12L
CVE-2022-20010 A-213519176 ID高的12、12L
CVE-2022-20011 A-214999128 ID高的10、11、12、12L
CVE-2022-20115 A-210118427 ID高的12、12L
CVE-2021-39670 A-204087139拒绝服务高的12、12L
CVE-2022-20112 A-206987762拒绝服务高的10、11、12、12L

谷歌播放系统更新

Project Mainline 组件中包含以下问题。

零件CVE
媒体提供者CVE-2021-39662

2022-05-05 安全补丁级别漏洞详情

在以下部分中,我们提供了适用于 2022-05-05 补丁级别的每个安全漏洞的详细信息。漏洞被归类在它们影响的组件之下。下表描述了问题,包括 CVE ID、相关参考、漏洞类型严重性和更新的 AOSP 版本(如果适用)。如果可用,我们会将解决问题的公共更改链接到错误 ID,例如 AOSP 更改列表。当多个更改与单个错误相关时,其他参考将链接到错误 ID 后面的数字。

内核组件

本节中最严重的漏洞可能导致系统库中的本地权限升级,而无需额外的执行权限。

CVE参考类型严重性零件
CVE-2022-0847 A-220741611
上游内核[ 2 ] [ 3 ]
EoP高的管道
CVE-2022-20009 A-213172319
上游内核[ 2 ]
EoP高的Linux
CVE-2022-20008 A-216481035
上游内核[ 2 ] [ 3 ]
ID高的标清 MMC
CVE-2021-22600 A-213464034
上游内核
EoP缓和核心

联发科组件

这些漏洞会影响联发科组件,更多详细信息可直接从联发科获得。这些问题的严重性评估由联发科直接提供。

CVE参考严重性零件
CVE-2022-20084 A-223071148
M-ALPS06498874 *
高的电话
CVE-2022-20109 A-223072269
M-ALPS06399915 *
高的离子
CVE-2022-20110 A-223071150
M-ALPS06399915 *
高的离子

高通组件

这些漏洞会影响 Qualcomm 组件,并在相应的 Qualcomm 安全公告或安全警报中进行了更详细的描述。这些问题的严重性评估由高通直接提供。

CVE参考严重性零件
CVE-2022-22057 A-218337595
QC-CR#3077687
高的展示
CVE-2022-22064 A-218338071
QC-CR#3042282
QC-CR#3048959
QC-CR#3056532
QC-CR#3049158 [ 2 ]
高的无线局域网
CVE-2022-22065 A-218337597
QC-CR#3042293
QC-CR#3064612
高的无线局域网
CVE-2022-22068 A-218337596
QC-CR#3084983 [ 2 ]
高的核心
CVE-2022-22072 A-218339149
QC-CR#3073345 [ 2 ]
高的无线局域网

高通闭源组件

这些漏洞会影响 Qualcomm 闭源组件,并在相应的 Qualcomm 安全公告或安全警报中进行了更详细的描述。这些问题的严重性评估由高通直接提供。

CVE参考严重性零件
CVE-2021-35090 A-204905205​​ *危急闭源组件
CVE-2021-35072 A-204905110 *高的闭源组件
CVE-2021-35073 A-204905209 *高的闭源组件
CVE-2021-35076 A-204905151 *高的闭源组件
CVE-2021-35078 A-204905326 *高的闭源组件
CVE-2021-35080 A-204905287 *高的闭源组件
CVE-2021-35086 A-204905289 *高的闭源组件
CVE-2021-35087 A-204905111 *高的闭源组件
CVE-2021-35094 A-204905838 *高的闭源组件
CVE-2021-35096 A-204905290 *高的闭源组件
CVE-2021-35116 A-209469826 *高的闭源组件

常见问题和答案

本节回答阅读本公告后可能出现的常见问题。

1. 如何确定我的设备是否已更新以解决这些问题?

要了解如何检查设备的安全补丁级别,请参阅检查并更新您的 Android 版本

  • 2022-05-01 或更高版本的安全补丁程序级别解决了与 2022-05-01 安全补丁程序级别相关的所有问题。
  • 2022-05-05 或更高版本的安全补丁程序级别解决了与 2022-05-05 安全补丁程序级别和所有以前的补丁程序级别相关的所有问题。

包含这些更新的设备制造商应将补丁字符串级别设置为:

  • [ro.build.version.security_patch]:[2022-05-01]
  • [ro.build.version.security_patch]:[2022-05-05]

对于 Android 10 或更高版本的某些设备,Google Play 系统更新将具有与 2022-05-01 安全补丁级别匹配的日期字符串。有关如何安装安全更新的更多详细信息,请参阅本文

2. 为什么这个公告有两个安全补丁级别?

此公告有两个安全补丁级别,以便 Android 合作伙伴可以灵活地更快地修复所有 Android 设备中相似的漏洞子集。鼓励 Android 合作伙伴修复此公告中的所有问题并使用最新的安全补丁级别。

  • 使用 2022-05-01 安全补丁级别的设备必须包含与该安全补丁级别相关​​的所有问题,以及针对之前安全公告中报告的所有问题的修复。
  • 使用 2022-05-05 或更高级别安全补丁程序的设备必须在此(和以前的)安全公告中包含所有适用的补丁程序。

鼓励合作伙伴将他们正在解决的所有问题的修复程序捆绑在一次更新中。

3. Type栏中的条目是什么意思?

漏洞详细信息表的类型列中的条目引用了安全漏洞的分类。

缩写定义
RCE远程代码执行
EoP特权提升
ID信息披露
拒绝服务拒绝服务
不适用分类不可用

4.参考栏中的条目是什么意思?

漏洞详细信息表的参考列下的条目可能包含一个前缀,用于标识参考值所属的组织。

字首参考
一种- Android 错误 ID
质量控制-高通参考号
米-联发科参考号
N-英伟达参考号
乙-博通参考号
ü- UNISOC 参考号

5. References栏中Android bug ID旁边的*是什么意思?

不公开的问题在相应的参考 ID 旁边有一个 *。该问题的更新通常包含在谷歌开发者网站上最新的 Pixel 设备二进制驱动程序中。

6. 为什么此公告与设备/合作伙伴安全公告(例如 Pixel 公告)之间存在安全漏洞?

本安全公告中记录的安全漏洞需要在 Android 设备上声明最新的安全补丁级别。声明安全补丁级别不需要设备/合作伙伴安全公告中记录的其他安全漏洞。 Android 设备和芯片组制造商还可能发布特定于其产品的安全漏洞详细信息,例如Google华为LGE摩托罗拉诺基亚三星

版本

版本日期笔记
1.0 2022 年 5 月 2 日公告发布
1.1 2022 年 5 月 3 日修订公告以包括 AOSP 链接