ダーティ パイプの修正: サムスンは Google よりも早く Google コードを実装

Dirty Pipe は、近年の Linux カーネルの最も深刻な脆弱性の 1 つです。このバグにより、権限のないユーザーが読み取り専用データを上書きすることができ、権限昇格が発生する可能性があります。このバグは 2 月 19 日に修正され、Unbuntu などの Linux バージョンではパッチが作成され、約 17 日以内にエンド ユーザーにリリースされました。Android は Linux をベースにしているため、Google と Android メーカーもバグを修正する必要があります。

Linux デスクトップのリリースから丸 1 か月が経ちましたが、Android の調子はどうですか?

この脆弱性を発見した研究者 Max Kellermann 氏が提供したタイムラインによると、Google は 2 月 23 日に Android コードベースの Dirty Pipe にパッチを適用しました。しかし、Android エコシステムは、更新されたコードをユーザーに配信するのが苦手であることで有名です。ある意味、Android の遅さがこの脆弱性の解決に役立っています。このバグは、2020 年 8 月にリリースされた Linux 5.8 で発生しました。では、なぜ過去 2 年間、このバグが Android エコシステム全体に広範囲に広がらなかったのでしょうか?

Android での Linux サポートは、6 か月前の Android 12 のリリースで 5.4 から 5.10 にジャンプしただけであり、Android スマートフォンは通常、メジャー カーネル バージョンからジャンプすることはありません。新しい電話機のみが最新のカーネルを入手し、その後は廃止されるまでマイナーな長期サポート アップデートを使用する傾向があります。

Android カーネルの展開が遅いということは、このバグが影響するのは新しい 2022 年の携帯電話、つまり Google Pixel 6、Samsung Galaxy S22、OnePlus 10 Pro などの 5.10 カーネル デバイスのみであることを意味します。この脆弱性はすでに、Pixel 6 と S22 の root 権限を利用して悪用されています。

同社は、パッチで何が起こったのかについての私たち（または他の）の質問には答えませんでしたが、Pixel 6にはすでに修正が適用されると期待するのは合理的です。これは Google OS を実行する Google チップを搭載した Google 携帯電話であるため、同社はアップデートを迅速に展開できるはずです。2 月末に修正がコードベースに適用された後、GrapheneOSなどの多くのサードパーティ ROM は3 月初旬に修正を統合できました。

Samsung はパッチを発行することで本当に Google より先を行ったようです。Samsung は、CVE-2022-0847 に対する修正を独自の セキュリティ情報に掲載しており、この修正が Galaxy S22 に適用されることを示しています。Samsung は脆弱性を Android のバグと Samsung のバグに分け、CVE-2022-0847 が Google の 4 月の Android セキュリティ情報に含まれていると報告していますが、これは真実ではありません。Samsung が修正を選択し、速報に記載しなかったか、Google が土壇場で Pixel 6 から修正を削除したかのどちらかです。

このパッチは 40 日前に Android ソース コード リポジトリに公開されました。現在、バグは公開され、誰でも利用できるため、Google は修正を提供するためにより迅速に行動する必要があるようです。