近期谷歌發(fā)布了Android的5月安全補(bǔ)丁的第二部分，其中包括對積極利用的Linux內(nèi)核漏洞的修復(fù)。該漏洞編號為CVE-2021-22600，是Linux內(nèi)核中的一個權(quán)限提升漏洞，威脅者可以通過本地訪問來利用該漏洞。由于Android使用修改后的Linux內(nèi)核，因此該漏洞也會影響操作系統(tǒng)。

谷歌的研究人員曾在1月份就披露了該Linux漏洞 ，并引入了一個修復(fù)程序，該修復(fù)程序也及時同步給Linux供應(yīng)商，然而在谷歌自己的安卓操作系統(tǒng)中修復(fù)這個漏洞則需要幾個月的時間。

4月，CISA披露該漏洞正在被積極利用，并將其添加到其“已知被利用漏洞目錄”中。在5月的Android安全公告中，谷歌確認(rèn)該編號為CVE-2021-22600的漏洞可能被有針對性的利用。目前尚不清楚該漏洞是如何被用于攻擊的，但它很可能被用于執(zhí)行特權(quán)命令并通過企業(yè)網(wǎng)絡(luò)中的Linux系統(tǒng)橫向傳播。

最近的Android版本(10、11、12)包含了越來越嚴(yán)格的權(quán)限，使得惡意軟件很難獲得高級功能所需的權(quán)限。因此，在感染后利用漏洞來獲得更高的特權(quán)并非不可能。此漏洞的第二個潛在用途是用戶安裝并激活后，可以在設(shè)備上獲得root權(quán)限的設(shè)備root工具。

以下是本月修復(fù)的內(nèi)容摘要：

• Android框架中的四個提權(quán) (EoP) 和一個信息泄露 (ID) 漏洞
• Android系統(tǒng)中的三個EoP、兩個ID 和兩個拒絕服務(wù)(DoS) 漏洞
• 內(nèi)核組件中的三個EoP 和一個 ID 缺陷
• 聯(lián)發(fā)科組件中的三個高危漏洞
• 高通組件中的15個高嚴(yán)重性和1個嚴(yán)重嚴(yán)重性缺陷

需要注意的是，針對CVE-2021-22600和所有來自第三方供應(yīng)商的修復(fù)程序都在2022-05-05 安全補(bǔ)丁程序級別上可用，而不是在2022年5月1日發(fā)布的第一個安全補(bǔ)丁程序級別上可用。無論如何，所有這些修復(fù)仍然包含在下個月的第一個安全補(bǔ)丁級別中，該補(bǔ)丁將于 2022 年6月1日發(fā)布。

同時，該安全補(bǔ)丁并不適用于Android 9或更早版本，建議用戶出于安全原因，應(yīng)該升級到更新的Android操作系統(tǒng)版本。使用Google Pixel設(shè)備的用戶本月收到了額外的修復(fù)，其中一個僅影響使用Titan-M芯片的最新Pixel 6 Pro系列。最有趣的兩個是漏洞是CVE-2022-20120和CVE-2022-20117，一個是影響引導(dǎo)加載程序的嚴(yán)重遠(yuǎn)程執(zhí)行漏洞，一個是Titan-M上的嚴(yán)重信息泄露漏洞。

參考來源：https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-android-kernel-vulnerability/