Pixel 6 erhält endlich den Dirty Pipe-Patch, einen Monat nach dem Galaxy S22

Das Android-Sicherheitsupdate vom Mai ist da , was bedeutet, dass das Pixel 6 endlich einen Patch für die Dirty-Pipe-Schwachstelle erhält. Das Update kommt einen Monat, nachdem Samsung den Galaxy S22-Patch an Google gesendet hat, aber immerhin ist es endlich da.

Dirty Pipe, auch bekannt als CVE-2022-0847, ist eine der größten Linux-Schwachstellen der letzten Jahre. Die Sicherheitslücke ermöglicht es einem nicht privilegierten Benutzer, schreibgeschützte Daten zu überschreiben, was zu einer weiteren Rechteausweitung führen könnte. Tatsächlich gibt es für Android eine funktionierende Demo davon. Der Twitter-Benutzer @Fire30_ hat in einer Demo gezeigt, wie er den Fehler zum Rooten des Pixel 6 nutzt. Linux-Geräte mit Version 5.8 und höher sind anfällig, und nachdem die Schwachstelle am 19. Februar entdeckt wurde, begann 17 Tage später die Einführung von Patches für Linux-Distributionen für PCs .

Bei Android ist das allerdings anders. Erstens verwenden noch nicht viele Geräte den Linux 5.8-Kernel. Obwohl diese Version im August 2020 veröffentlicht wurde, sprang Android erst mit der Veröffentlichung von Android 12 im November von 5.4 auf 5.10. Da bestehende Geräte bei einem Android-Update in der Regel nicht zwischen den wichtigsten Kernel-Versionen wechseln, bedeutet dies, dass nur neue Geräte mit Android 12 über den 5.10-Kernel verfügen. Dabei handelt es sich um eine sehr kleine Anzahl neuer Geräte, die in den letzten etwa acht Monaten veröffentlicht wurden, nämlich das Pixel 6, das Galaxy S22 und das OnePlus 10 Pro.

Laut dem Forscher, der die Schwachstelle entdeckt hat, hat Google am 23. Februar Dirty Pipe in der Android-Codebasis gepatcht. Samsung hat diesen Code von Google übernommen und ihn letzten Monat auf dem Galaxy S22 eingeführt, aber Google hat am Ende einen weiteren Monat darauf gewartet, dass er diese Woche endlich für Pixel-6-Nutzer verfügbar ist. OnePlus hinkt noch hinterher.

Google stuft Dirty Pipe nur als „hoch“ ein, was erklärt, warum das Unternehmen nicht schnell ein Update veröffentlicht hat. Dirty Pipe erreicht unter Android nicht die Schwachstellenstufe „kritisch“, da es nicht aus der Ferne verwendet werden kann. Sie benötigen lokalen Zugriff, um den Exploit nutzen zu können, und solange keine anderen Schwachstellen bekannt sind, sollten Sie auf der sicheren Seite sein, solange Sie nichts Schadhaftes installieren.

In anderen Android-Update-Nachrichten steht das Ende der Mittelklasse-Pixel-3a-Reihe vor der Tür. Nach drei Jahren großer Betriebssystem-Updates markiert Mai 2022 die letzte offizielle Veröffentlichung des Pixel 3a-Betriebssystems. Google teilte 9to5Google mit , dass das Gerät das letzte Update bis Juli 2022 erhalten wird.