Oprava špinavého potrubí: Samsung implementuje kód Google rychleji než Google

Oprava špinavého potrubí: Samsung implementuje kód Google rychleji než Google

Dirty Pipe je jednou z nejzávažnějších zranitelností linuxového jádra posledních let. Chyba umožňuje uživateli bez oprávnění přepisovat data pouze pro čtení, což může mít za následek eskalaci oprávnění. Chyba byla opravena 19. února a pro verze Linuxu, jako je Unbuntu, byla napsána oprava a vydána koncovým uživatelům přibližně za 17 dní. Android je založen na Linuxu, takže chybu musí opravit i Google a výrobci Androidu.

Od vydání Linuxu uběhl celý měsíc, tak jak je na tom Android?

Podle časové osy poskytnuté Maxem Kellermannem, výzkumníkem, který zranitelnost objevil, Google 23. února záplatoval Dirty Pipe v kódové základně Androidu. Ekosystém Androidu je však notoricky špatný v poskytování aktualizovaného kódu uživatelům. Svým způsobem s touto zranitelností pomohla pomalost Androidu. Chyba se objevila v Linuxu 5.8, vydaném v srpnu 2020. Proč se tedy chyba v posledních dvou letech nerozšířila široko daleko napříč ekosystémem Android?

Podpora Linuxu v Androidu vyskočila pouze z 5.4 na 5.10 s vydáním Androidu 12 před šesti měsíci a telefony s Androidem obvykle nepřeskakují z hlavních verzí jádra. Pouze nové telefony dostávají nejnovější jádro a pak mají tendenci používat drobné, dlouhodobé aktualizace podpory, dokud nejsou vyřazeny.

Pomalé zavádění jádra Androidu znamená, že chyba se týká pouze nových telefonů 2022, tj. zařízení s jádrem 5.10, jako jsou Google Pixel 6, Samsung Galaxy S22 a OnePlus 10 Pro. Zranitelnost již byla přeměněna na funkční exploit s oprávněními root pro Pixel 6 a S22.

Společnost neodpověděla na naše (nebo jiné) otázky o tom, co se stalo s opravou, ale je rozumné očekávat, že Pixel 6 již bude mít opravu. Jedná se o telefon Google s čipem Google se systémem Google OS, takže společnost by měla být schopna rychle zavést aktualizaci. Poté, co se oprava dostala do kódové základny na konci února, mnoho ROM třetích stran, jako je GrapheneOS , dokázalo opravu integrovat na začátku března.

Vypadá to, že Samsung vydáním opravy skutečně předběhl Google. Společnost Samsung uvádí opravu pro CVE-2022-0847 ve svém vlastním bezpečnostním bulletinu , což naznačuje, že se oprava týká Galaxy S22. Samsung rozděluje zranitelnosti na chyby Androidu a chyby Samsung a uvádí, že CVE-2022-0847 je obsažen v dubnovém bulletinu společnosti Google o zabezpečení Androidu, i když to není pravda. Buď se Samsung rozhodl pro opravu a neuvedl ji ve svém bulletinu, nebo Google opravu z Pixelu 6 na poslední chvíli odstranil.

Oprava se dostala do úložiště zdrojového kódu Android před 40 dny. Nyní, když je chyba veřejná a dostupná všem, zdá se, že Google musí jednat rychleji, aby mohl opravit.

News
admin

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

iQoo 9 dostává novou oranžovou barvu Phoenix: Cena, Specifikace
Apple oznamuje data a podrobnosti pro WWDC 2022
Jak streamovat UFC Fight Pass na Android, FireTV, Apple TV nebo Smart TV

Jak streamovat UFC Fight Pass na Android, FireTV, Apple TV nebo Smart TV

  • 13 Čvn 2023
  • 261
Jak opravit problémy se záznamem obrazovky Samsung Galaxy S22/Plus/Ultra

Jak opravit problémy se záznamem obrazovky Samsung Galaxy S22/Plus/Ultra

  • 08 Čvn 2023
  • 217
Jak vstoupit do režimu zotavení na Samsung Galaxy S20

Jak vstoupit do režimu zotavení na Samsung Galaxy S20

  • 02 Čvn 2023
  • 146