Pixel 6 saa vihdoin Dirty Pipe -päivityksen kuukausi Galaxy S22:n jälkeen

Toukokuun Android-tietoturvapäivitys on julkaistu , mikä tarkoittaa, että Pixel 6 saa vihdoin korjaustiedoston Dirty Pipe -haavoittuvuuteen. Päivitys tulee kuukausi sen jälkeen, kun Samsung lähetti Galaxy S22 -korjauksen Googlelle, mutta ainakin se on vihdoin täällä.

Dirty Pipe, joka tunnetaan myös nimellä CVE-2022-0847, on yksi viime vuosien suurimmista Linux-haavoittuvuuksista. Haavoittuvuus antaa etuoikeutetulle käyttäjälle mahdollisuuden korvata vain luku -tietoja, mikä voi johtaa lisäoikeuksien eskaloitumiseen. Itse asiassa Androidilla on toimiva demo tästä. Twitter-käyttäjä @Fire30_ teki esittelyn virheen käyttämisestä Pixel 6:n roottamiseen. Linux-laitteet, joissa on versio 5.8 tai uudempi, ovat haavoittuvia, ja haavoittuvuuden havaitsemisen jälkeen helmikuun 19. päivänä PC-tietokoneiden Linux-jakelujen korjaustiedostot alkoivat julkaista 17 päivää myöhemmin .

Androidin kanssa asiat ovat kuitenkin toisin. Ensinnäkin monet laitteet eivät käytä Linux 5.8 -ydintä vielä. Vaikka tämä versio julkaistiin elokuussa 2020, Android hyppäsi 5.4:stä 5.10:een vasta Android 12:n julkaisun myötä marraskuussa. Koska nykyiset laitteet eivät yleensä vaihda tärkeimpien ydinversioiden välillä, kun ne saavat Android-päivityksen, tämä tarkoittaa, että vain uusissa laitteissa, joissa on Android 12, on 5.10-ydin. Tämä on hyvin pieni määrä uusia laitteita, jotka on julkaistu viimeisen kahdeksan kuukauden aikana, nimittäin Pixel 6, Galaxy S22 ja OnePlus 10 Pro.

Haavoittuvuuden löytäneen tutkijan mukaan Google korjasi Dirty Pipen Android-koodikannassa 23. helmikuuta. Samsung otti koodin Googlelta ja julkaisi sen Galaxy S22:ssa viime kuussa, mutta Google päätyi odottamaan ylimääräistä kuukautta, jotta se lopulta osui Pixel 6 -käyttäjiin tällä viikolla. OnePlus on edelleen jäljessä.

Google luokittelee Dirty Pipen vain ”korkeaksi”, mikä selittää, miksi yritys ei julkaissut päivitystä nopeasti. Dirty Pipe ei saavuta ”kriittistä” haavoittuvuustasoa Androidissa, koska sitä ei voi käyttää etänä. Tarvitset paikallisen pääsyn käyttääksesi hyväksikäyttöä, ja niin kauan kuin muita tunnettuja haavoittuvuuksia ei ole, sinun tulee olla turvassa, kunhan et asenna mitään haitallista.

Muissa Android-päivitysuutisissa keskitason Pixel 3a -linjan loppu on aivan nurkan takana. Kolmen vuoden suurten käyttöjärjestelmäpäivitysten jälkeen toukokuu 2022 on Pixel 3a -käyttöjärjestelmän viimeinen virallinen julkaisu. Google kertoi 9to5Googlelle , että laite saa lopullisen päivityksen heinäkuuhun 2022 mennessä.