Dirty Pipe Fix: Samsung implementa il codice Google più velocemente di Google

Dirty Pipe Fix: Samsung implementa il codice Google più velocemente di Google

Dirty Pipe è una delle più gravi vulnerabilità del kernel Linux degli ultimi anni. Il bug consente a un utente senza privilegi di sovrascrivere i dati di sola lettura, il che può comportare un’escalation dei privilegi. Il bug è stato risolto il 19 febbraio e per le versioni di Linux come Unbuntu è stata scritta e rilasciata una patch agli utenti finali in circa 17 giorni. Android è basato su Linux, quindi anche i produttori di Google e Android devono correggere il bug.

È passato un mese intero dal rilascio del desktop Linux, quindi come va Android?

Secondo una cronologia fornita da Max Kellermann, il ricercatore che ha scoperto la vulnerabilità, Google ha corretto Dirty Pipe nel codice Android il 23 febbraio. Ma l’ecosistema Android è notoriamente pessimo nel fornire codice aggiornato agli utenti. In un certo senso, la lentezza di Android ha aiutato con questa vulnerabilità. Il bug è apparso in Linux 5.8, rilasciato nell’agosto 2020. Allora perché il bug non si è diffuso in lungo e in largo nell’ecosistema Android negli ultimi due anni?

Il supporto di Linux in Android è passato dalla 5.4 alla 5.10 solo con il rilascio di Android 12 sei mesi fa e i telefoni Android di solito non passano dalle principali versioni del kernel. Solo i nuovi telefoni ottengono il kernel più recente e quindi tendono a utilizzare aggiornamenti di supporto minori a lungo termine fino al ritiro.

La lenta implementazione del kernel Android significa che il bug riguarda solo i nuovi telefoni 2022, ovvero dispositivi con kernel 5.10 come Google Pixel 6, Samsung Galaxy S22 e OnePlus 10 Pro. La vulnerabilità è già stata trasformata in un exploit funzionante con privilegi di root per Pixel 6 e S22.

La società non ha risposto alle nostre (o ad altre) domande su cosa è successo con la patch, ma è ragionevole aspettarsi che Pixel 6 abbia già la correzione. Questo è un telefono Google con un chip Google che esegue il sistema operativo Google, quindi la società dovrebbe essere in grado di implementare rapidamente un aggiornamento. Dopo che la correzione ha raggiunto il codice base alla fine di febbraio, molte ROM di terze parti come GrapheneOS sono state in grado di integrare la correzione all’inizio di marzo.

Sembra che Samsung abbia davvero superato Google rilasciando una patch. Samsung elenca una correzione per CVE-2022-0847 nel proprio bollettino sulla sicurezza , indicando che la correzione si applica al Galaxy S22. Samsung separa le vulnerabilità in bug Android e bug Samsung e segnala che CVE-2022-0847 è contenuto nel bollettino di sicurezza Android di aprile di Google, anche se questo non è vero. O Samsung ha optato per una correzione e non l’ha elencata nel proprio bollettino, oppure Google ha rimosso la correzione dal Pixel 6 all’ultimo minuto.

La patch ha raggiunto il repository del codice sorgente di Android 40 giorni fa. Ora che il bug è pubblico e disponibile a tutti, sembra che Google debba agire più velocemente per fornire una soluzione.

Uncategorized
admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

iQoo 9 ottiene la nuova opzione di colore Phoenix Orange: prezzo, specifiche
Apple annuncia date e dettagli per la WWDC 2022
Come eseguire lo streaming di UFC Fight Pass su Android, FireTV, Apple TV o Smart TV

Come eseguire lo streaming di UFC Fight Pass su Android, FireTV, Apple TV o Smart TV

  • 13 Giu 2023
  • 102
Come riparare i problemi di registrazione dello schermo Samsung Galaxy S22/Plus/Ultra

Come riparare i problemi di registrazione dello schermo Samsung Galaxy S22/Plus/Ultra

  • 08 Giu 2023
  • 139
Come accedere alla modalità di ripristino su un Samsung Galaxy S20

Come accedere alla modalità di ripristino su un Samsung Galaxy S20

  • 02 Giu 2023
  • 87