Dirty Pipe Fix: Samsung rakendab Google’i koodi kiiremini kui Google
Dirty Pipe on viimaste aastate üks tõsisemaid Linuxi tuuma haavatavusi. Viga võimaldab privilegeeritud kasutajal kirjutuskaitstud andmed üle kirjutada, mis võib põhjustada õiguste eskaleerumist. Viga parandati 19. veebruaril ja Linuxi versioonidele, nagu Unbuntu, kirjutati paika ja avaldati lõppkasutajatele umbes 17 päevaga. Android põhineb Linuxil, seega peavad vea parandama ka Google ja Androidi tootjad.
Linuxi töölauaväljaandest on möödunud terve kuu, kuidas Androidil läheb?
Haavatavuse avastanud teadlase Max Kellermanni esitatud ajaskaala kohaselt parandas Google 23. veebruaril Androidi koodibaasi Dirty Pipe’i. Kuid Androidi ökosüsteem on kasutajatele värskendatud koodi edastamisel kurikuulsalt halb. Teatud mõttes aitas Androidi aeglus seda haavatavust kaasa. Viga ilmnes 2020. aasta augustis välja antud Linuxi versioonis 5.8. Miks pole viga viimase kahe aasta jooksul Androidi ökosüsteemis kaugele levinud?
Androidi Linuxi tugi hüppas alles 5.4-lt 5.10-le, kui Android 12 tuli välja kuus kuud tagasi, ja Android-telefonid ei hüppa tavaliselt suurematest kerneliversioonidest välja. Ainult uued telefonid saavad uusima kerneli ja seejärel kipuvad nad kasutama väiksemaid pikaajalisi tugivärskendusi kuni pensionile jäämiseni.
Androidi kerneli aeglane kasutuselevõtt tähendab, et viga mõjutab ainult uusi 2022. aasta telefone, st 5.10 tuumaga seadmeid, nagu Google Pixel 6, Samsung Galaxy S22 ja OnePlus 10 Pro. Haavatavus on Pixel 6 ja S22 jaoks juba muudetud toimivaks ärakasutamiseks juurõigustega.
Ettevõte ei vastanud meie (või muudele) küsimustele plaastriga juhtunu kohta, kuid on mõistlik eeldada, et Pixel 6 on nüüdseks parandatud. See on Google’i telefon, millel on Google’i kiip, mis töötab Google OS-iga, nii et ettevõte peaks suutma värskenduse kiiresti kasutusele võtta. Pärast seda, kui parandus veebruari lõpus koodibaasi jõudis, suutsid paljud kolmanda osapoole ROM-id, näiteks GrapheneOS , märtsi alguses paranduse integreerida.
Paistab, et Samsung jõudis Google’ist plaastri väljastamisega tõesti ette. Samsung loetleb CVE-2022-0847 paranduse oma turvabülletäänis , mis näitab, et parandus kehtib Galaxy S22 kohta. Samsung jagab haavatavused Androidi ja Samsungi vigadeks ning teatab, et CVE-2022-0847 sisaldub Google’i aprillikuu Androidi turvabülletäänis, kuigi see ei vasta tõele. Samsung valis paranduse ega lisanud seda oma bülletääni või eemaldas Google paranduse Pixel 6-st viimasel hetkel.
Plaaster jõudis Androidi lähtekoodi hoidlasse 40 päeva tagasi. Nüüd, kui viga on avalik ja kõigile kättesaadav, näib, et Google peab selle parandamiseks kiiremini tegutsema.
Lisa kommentaar