谷歌本周宣布發(fā)布針對 36 個漏洞的補丁程序，作為其 2022 年 5 月 Android 安全更新的一部分，其中包括一個似乎已被利用的漏洞。

谷歌在一份公告中指出，這些安全漏洞中最嚴重的一個是 Android 框架組件中的一個高嚴重性問題，可被用于提權(quán)。

該漏洞與 Framework 中的其他四個漏洞一起得到解決，包括三個高嚴重性的特權(quán)提升錯誤和一個中等嚴重性的信息泄露問題。

這些漏洞的補丁包含在 Android 2022-05-01 安全補丁級別中，該補丁還解決了 System 組件中的八個漏洞——所有八個漏洞都被評為“高嚴重性”(三個漏洞導(dǎo)致特權(quán)提升，三個漏洞導(dǎo)致信息泄露，和兩個拒絕服務(wù))。

本月更新的第二部分解決了其他 23 個漏洞，該更新作為2022-05-05 安全補丁級別推出到設(shè)備，其中還包含針對所有先前已解決的安全缺陷的補丁。

本月，谷歌在 2022-05-05 補丁級修復(fù)中包含了內(nèi)核組件中的四個錯誤、聯(lián)發(fā)科組件中的三個問題、高通組件中的五個以及高通閉源組件中的 11 個問題。

在已解決的問題中，Google 計算了 CVE-2021-22600(CVSS 得分為 7.8)，這是 1 月份披露的 Linux 內(nèi)核中的一個漏洞，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 已將其添加到其必須補丁列表中在四月份。

本地用戶可以通過精心設(shè)計的系統(tǒng)調(diào)用利用該漏洞來獲得提升的權(quán)限或?qū)е戮芙^服務(wù)條件。

“有跡象表明，CVE-2021-22600 可能受到有限的、有針對性的利用，”谷歌指出。在 Android 上，該錯誤被認為是“中等嚴重性”。

在另一份公告中，谷歌發(fā)布了針對僅影響 Pixel 設(shè)備的 11 個漏洞的補丁，其中包括引導(dǎo)加載程序中的兩個嚴重漏洞(CVE-2022-20120 - 遠程代碼執(zhí)行)和 Titan-M 安全芯片(CVE-2022-20117 - 信息披露)。

在剩下的 9 個安全漏洞中，有 4 個的嚴重性等級為“高”，而其余 5 個的嚴重性等級為“中等”。

參考連接：https://source.android.com/security/bulletin/2022-05-01