Le Pixel 6 reçoit enfin le patch Dirty Pipe, un mois après le Galaxy S22

La mise à jour de sécurité Android de mai est sortie , ce qui signifie que le Pixel 6 reçoit enfin un correctif pour la vulnérabilité Dirty Pipe. La mise à jour intervient un mois après que Samsung a envoyé le correctif Galaxy S22 à Google, mais au moins, il est enfin là.

Dirty Pipe, également connu sous le nom de CVE-2022-0847, est l’une des plus grandes vulnérabilités Linux de ces dernières années. La vulnérabilité permet à un utilisateur non privilégié d’écraser des données en lecture seule, ce qui pourrait entraîner une élévation de privilèges supplémentaire. En fait, Android a une démo fonctionnelle de cela. L’utilisateur de Twitter @Fire30_ a fait une démonstration de l’utilisation du bogue pour rooter le Pixel 6. Les appareils Linux exécutant 5.8 et versions ultérieures sont vulnérables, et après la découverte de la vulnérabilité le 19 février, les correctifs pour les distributions Linux pour PC ont commencé à être déployés 17 jours plus tard .

Cependant, les choses sont différentes avec Android. Premièrement, peu de périphériques utilisent encore le noyau Linux 5.8. Même si cette version est sortie en août 2020, Android n’est passé de 5.4 à 5.10 qu’avec la sortie d’Android 12 en novembre. Étant donné que les appareils existants ne basculent généralement pas entre les principales versions du noyau lorsqu’ils reçoivent une mise à jour Android, cela signifie que seuls les nouveaux appareils avec Android 12 ont le noyau 5.10. Il s’agit d’un très petit nombre de nouveaux appareils sortis au cours des huit derniers mois environ, à savoir le Pixel 6, le Galaxy S22 et le OnePlus 10 Pro.

Selon le chercheur qui a découvert la vulnérabilité, Google a corrigé Dirty Pipe dans la base de code Android le 23 février. Samsung a pris ce code de Google et l’a déployé sur le Galaxy S22 le mois dernier, mais Google a fini par attendre un mois supplémentaire pour qu’il atteigne enfin les utilisateurs de Pixel 6 cette semaine. OnePlus est toujours à la traîne.

Google classe uniquement Dirty Pipe dans la catégorie de gravité « élevée », ce qui explique pourquoi l’entreprise n’a pas publié de mise à jour rapidement. Dirty Pipe n’atteint pas le niveau de vulnérabilité « critique » sur Android car il ne peut pas être utilisé à distance. Vous avez besoin d’un accès local pour utiliser l’exploit, et tant qu’il n’y a pas d’autres vulnérabilités connues, vous devriez être en sécurité tant que vous n’installez rien de malveillant.

Dans d’autres nouvelles de mise à jour Android, la fin de la gamme Pixel 3a de milieu de gamme approche à grands pas. Après trois ans de mises à jour majeures du système d’exploitation, mai 2022 marque la dernière version officielle du système d’exploitation Pixel 3a. Google a déclaré à 9to5Google que l’appareil recevrait la mise à jour finale d’ici juillet 2022.