谷歌本周宣布发布36个漏洞的补丁,作为其2022年5月Android安全更新的一部分,其中一个漏洞似乎已被利用。谷歌在一份公告中表示,这些安全漏洞中最严重的是AndroidFrameworkComponents中的一个高严重性问题,可以利用它来提升权限。该漏洞与Framework中的其他四个漏洞一起得到解决,包括三个高严重性的特权提升错误和一个中等严重性的信息泄露问题。这些漏洞的补丁包含在Android2022-05-01安全补丁级别中,该级别还解决了系统组件中的八个漏洞——所有八个漏洞都被评为“高严重性”(三个漏洞导致特权增强,三个漏洞导致信息泄露,以及两次拒绝服务)。本月更新的第二部分解决了23个其他漏洞,该更新作为2022-05-05安全补丁级别向设备推出,其中还包括针对所有先前解决的安全漏洞的补丁。本月,谷歌在2022-05-05补丁级修复中包含了内核组件中的四个错误、联发科组件中的三个问题、高通组件中的五个错误以及高通闭源组件中的11个问题。在已解决的问题中,谷歌计算出CVE-2021-22600(CVSS评分为7.8),这是1月份披露的Linux内核中的一个漏洞,被美国网络安全和基础设施安全局(CISA)添加到2019年的必须补丁列表中四月。本地用户可以通过精心设计的系统调用利用此漏洞来获得提升的权限或导致拒绝服务条件。“有迹象表明,CVE-2021-22600可能会受到有限的、有针对性的利用,”谷歌指出。在Android上,此错误被认为是“中等严重性”。在另一份公告中,谷歌发布了针对仅影响Pixel设备的11个漏洞的补丁,其中包括引导加载程序中的两个严重漏洞(CVE-2022-20120-远程代码执行)和Titan-M安全芯片(CVE-2022-20117-信息泄露)).在其余九个安全漏洞中,四个被评为高,而其余五个被评为中等。参考链接:https://source.android.com/security/bulletin/2022-05-01
