谷歌本周宣布发布针对 36 个漏洞的补丁程序,作为其 2022 年 5 月 Android 安全更新的一部分,其中包括一个似乎已被利用的漏洞。
谷歌在一份公告中指出,这些安全漏洞中最严重的一个是 Android 框架组件中的一个高严重性问题,可被用于提权。
该漏洞与 Framework 中的其他四个漏洞一起得到解决,包括三个高严重性的特权提升错误和一个中等严重性的信息泄露问题。
这些漏洞的补丁包含在 Android 2022-05-01 安全补丁级别中,该补丁还解决了 System 组件中的八个漏洞——所有八个漏洞都被评为“高严重性”(三个漏洞导致特权提升,三个漏洞导致信息泄露,和两个拒绝服务)。
本月更新的第二部分解决了其他 23 个漏洞,该更新作为2022-05-05 安全补丁级别推出到设备,其中还包含针对所有先前已解决的安全缺陷的补丁。
本月,谷歌在 2022-05-05 补丁级修复中包含了内核组件中的四个错误、联发科组件中的三个问题、高通组件中的五个以及高通闭源组件中的 11 个问题。
在已解决的问题中,Google 计算了 CVE-2021-22600(CVSS 得分为 7.8),这是 1 月份披露的 Linux 内核中的一个漏洞,美国网络安全和基础设施安全局 (CISA) 已将其添加到其必须补丁列表中在四月份。
本地用户可以通过精心设计的系统调用利用该漏洞来获得提升的权限或导致拒绝服务条件。
“有迹象表明,CVE-2021-22600 可能受到有限的、有针对性的利用,”谷歌指出。在 Android 上,该错误被认为是“中等严重性”。
在另一份公告中,谷歌发布了针对仅影响 Pixel 设备的 11 个漏洞的补丁,其中包括引导加载程序中的两个严重漏洞(CVE-2022-20120 - 远程代码执行)和 Titan-M 安全芯片(CVE-2022-20117 - 信息披露)。
在剩下的 9 个安全漏洞中,有 4 个的严重性等级为“高”,而其余 5 个的严重性等级为“中等”。