Likainen putken korjaus: Samsung toteuttaa Google-koodin nopeammin kuin Google

Likainen putken korjaus: Samsung toteuttaa Google-koodin nopeammin kuin Google

Dirty Pipe on yksi viime vuosien vakavimmista Linux-ytimen haavoittuvuuksista. Virhe sallii etuoikeutettujen käyttäjien korvata vain luku -tiedot, mikä voi johtaa oikeuksien eskaloitumiseen. Virhe korjattiin 19. helmikuuta, ja Linuxin versioille, kuten Unbuntu, kirjoitettiin korjaustiedosto, joka julkaistiin loppukäyttäjille noin 17 päivässä. Android perustuu Linuxiin, joten myös Googlen ja Android-valmistajien on korjattava vika.

On kulunut kuukausi Linuxin työpöytäjulkaisusta, joten miten Androidilla menee?

Haavoittuvuuden löytäneen tutkijan Max Kellermannin toimittaman aikajanan mukaan Google korjasi Dirty Pipen Android-koodikannassa 23. helmikuuta. Mutta Android-ekosysteemi on tunnetusti huono toimittamaan päivitettyä koodia käyttäjille. Tavallaan Androidin hitaus auttoi tätä haavoittuvuutta. Virhe ilmestyi elokuussa 2020 julkaistuun Linux 5.8:aan. Miksi vika ei siis ole levinnyt laajalle Android-ekosysteemissä viimeisen kahden vuoden aikana?

Linux-tuki Androidissa vain hyppäsi 5.4:stä 5.10:een, kun Android 12 julkaistiin kuusi kuukautta sitten, ja Android-puhelimet eivät yleensä hyppää tärkeimmistä ydinversioista. Vain uudet puhelimet saavat uusimman ytimen, ja sitten ne käyttävät yleensä pieniä, pitkäaikaisia ​​tukipäivityksiä, kunnes ne poistetaan käytöstä.

Android-ytimen hidas käyttöönotto tarkoittaa, että virhe vaikuttaa vain uusiin 2022-puhelimiin eli 5.10-ydinlaitteisiin, kuten Google Pixel 6, Samsung Galaxy S22 ja OnePlus 10 Pro. Haavoittuvuus on jo muutettu toimivaksi hyväksikäytöksi pääkäyttäjän oikeuksilla Pixel 6:lle ja S22:lle.

Yritys ei vastannut (tai muihin) kysymyksiimme siitä, mitä korjaustiedoston kanssa tapahtui, mutta on kohtuullista odottaa, että Pixel 6: lla on korjaus tähän mennessä. Tämä on Google-puhelin, jossa on Google-siru, joka käyttää Google-käyttöjärjestelmää, joten yrityksen pitäisi pystyä julkaisemaan päivitys nopeasti. Kun korjaus tuli koodikantaan helmikuun lopussa, monet kolmannen osapuolen ROM-levyt, kuten GrapheneOS , pystyivät integroimaan korjauksen maaliskuun alussa.

Näyttää siltä, ​​​​että Samsung todella meni Googlen edellä julkaisemalla korjaustiedoston. Samsung listaa CVE-2022-0847 korjauksen omassa tietoturvatiedotteessaan , mikä osoittaa, että korjaus koskee Galaxy S22:ta. Samsung jakaa haavoittuvuudet Android- ja Samsung-bugiin ja raportoi, että CVE-2022-0847 sisältyy Googlen huhtikuun Android-tietoturvatiedotteeseen, vaikka tämä ei ole totta. Joko Samsung valitsi korjauksen eikä maininnut sitä tiedotteessaan, tai Google poisti korjauksen Pixel 6:sta viime hetkellä.

Korjaustiedosto osui Androidin lähdekoodivarastoon 40 päivää sitten. Nyt kun virhe on julkinen ja kaikkien saatavilla, näyttää siltä, ​​​​että Googlen on toimittava nopeammin korjatakseen sen.

News
admin

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

iQoo 9 saa uuden Phoenix Orange -värivaihtoehdon: hinta, tekniset tiedot
Apple julkistaa WWDC 2022 -tapahtuman päivämäärät ja yksityiskohdat
UFC Fight Passin suoratoisto Androidissa, FireTV:ssä, Apple TV:ssä tai Smart TV:ssä

UFC Fight Passin suoratoisto Androidissa, FireTV:ssä, Apple TV:ssä tai Smart TV:ssä

  • 13 kesä 2023
  • 87
Samsung Galaxy S22/Plus/Ultra-näytön tallennusongelmien korjaaminen

Samsung Galaxy S22/Plus/Ultra-näytön tallennusongelmien korjaaminen

  • 08 kesä 2023
  • 80
Kuinka siirtyä palautustilaan Samsung Galaxy S20:ssa

Kuinka siirtyä palautustilaan Samsung Galaxy S20:ssa

  • 02 kesä 2023
  • 130