1.     Google Android Biuletyn bezpieczeństwa—Maj 2022

Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń z dnia 2022-05-05 lub nowsze rozwiązują wszystkie te problemy. Najpoważniejszym z tych problemów jest luka w zabezpieczeniach o wysokim poziomie bezpieczeństwa w komponencie Framework, która może prowadzić do lokalnej eskalacji uprawnień z wymaganymi uprawnieniami do wykonywania przez użytkownika. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy problem, przy założeniu, że platforma i ograniczenia związane z usługami są wyłączone w celach programistycznych lub pomyślnie ominięte.

Struktura

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień z wymaganymi uprawnieniami do wykonywania przez użytkownika.

CVEBibliografiaRodzajPowagaZaktualizowane wersje AOSP
CVE-2021-39662A-197302116EoPWysoki11, 12
CVE-2022-20004A-179699767EoPWysoki10, 11, 12, 12L
CVE-2022-20005A-219044664EoPWysoki10, 11, 12, 12L
CVE-2022-20007A-211481342EoPWysoki10, 11, 12, 12L
CVE-2021-39700A-201645790IDUmiarkowany10, 11, 12

System

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez dodatkowych uprawnień do wykonywania.

CVEBibliografiaRodzajPowagaZaktualizowane wersje AOSP
CVE-2022-20113A-205996517EoPWysoki12, 12L
CVE-2022-20114A-211114016EoPWysoki10, 11, 12, 12L
CVE-2022-20116A-212467440EoPWysoki12, 12L
CVE-2022-20010A-213519176IDWysoki12, 12L
CVE-2022-20011A-214999128IDWysoki10, 11, 12, 12L
CVE-2022-20115A-210118427IDWysoki12, 12L
CVE-2021-39670A-204087139DoSWysoki12, 12L
CVE-2022-20112A-206987762DoSWysoki10, 11, 12, 12L

Aktualizacje systemu Google Play

Następujące kwestie są uwzględnione w komponentach Project Mainline.

SkładnikCVE
MediaProviderCVE-2021-39662

2022-05-05 szczegóły luki w zabezpieczeniach poziomu łatki bezpieczeństwa

W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawek 2022-05-05. Luki są pogrupowane pod komponentem, którego dotyczą. Problemy są opisane w poniższych tabelach i obejmują identyfikator CVE, powiązane odniesienia, typ luki w zabezpieczeniach , wagę i zaktualizowane wersje AOSP (jeśli dotyczy). Jeśli jest to możliwe, łączymy zmianę publiczną, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.

Składniki jądra

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień w bibliotekach systemowych bez dodatkowych uprawnień do wykonywania.

CVEBibliografiaRodzajPowagaSkładnik
CVE-2022-0847A-220741611
Jądro pierwotne [ 2 ] [ 3 ]
EoPWysokiRury
CVE-2022-20009A-213172319
Jądro nadrzędne [ 2 ]
EoPWysokiLinux
CVE-2022-20008A-216481035
Jądro pierwotne [ 2 ] [ 3 ]
IDWysokiSD MMC
CVE-2021-22600A-213464034
Jądro nadrzędne
EoPUmiarkowanyJądro

Komponenty MediaTeka

Te luki dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w MediaTek. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez MediaTek.

CVEBibliografiaPowagaSkładnik
CVE-2022-20084A-223071148
M-ALPS06498874 *
Wysokitelefonia
CVE-2022-20109A-223072269
M-ALPS06399915 *
Wysokijon
CVE-2022-201010A-223071150
M-ALPS06399915 *
Wysokijon

Komponenty Qualcomm

Te luki w zabezpieczeniach dotyczą składników Qualcomm i są opisane bardziej szczegółowo w odpowiednim biuletynie lub alercie zabezpieczeń Qualcomm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Qualcomm.

CVEBibliografiaPowagaSkładnik
CVE-2022-22057A-218337595
QC-CR#3077687
WysokiWyświetlacz
CVE-2022-22064A-218338071
QC-CR#3042282
QC-CR#3048959
QC-CR#3056532
QC-CR#3049158 [ 2 ]
WysokiWLAN
CVE-2022-22065A-218337597
QC-CR#3042293
QC-CR#3064612
WysokiWLAN
CVE-2022-22068A-218337596
QC-CR#3084983 [ 2 ]
WysokiJądro
CVE-2022-22072A-218339149
QC-CR#3073345 [ 2 ]
WysokiWLAN

Komponenty zamkniętego źródła Qualcomm

Te luki w zabezpieczeniach dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Qualcomm.

CVEBibliografiaPowagaSkładnik
CVE-2021-35090A-204905205 ​​*KrytycznyKomponent o zamkniętym kodzie źródłowym
CVE-2021-35072A-204905110 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2021-35073A-204905209 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2021-35076A-204905151 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2021-35078A-204905326 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2021-35080A-204905287 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2021-35086A-204905289 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2021-35087A-204905111 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2021-35094A-204905838 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2021-35096A-204905290 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2021-35116A-209469826 *WysokiKomponent o zamkniętym kodzie źródłowym