Galaxy S22の1か月後、Pixel 6についにDirty Pipeパッチが適用される

5 月の Android セキュリティ アップデートが公開されました。これは、Pixel 6 についに Dirty Pipe の脆弱性に対するパッチが適用されることを意味します。このアップデートは、SamsungがGalaxy S22のパッチをGoogleに送信してから1か月後に行われたが、少なくともついに登場した。

CVE-2022-0847 としても知られる Dirty Pipe は、近年最大の Linux 脆弱性の 1 つです。この脆弱性により、権限のないユーザーが読み取り専用データを上書きすることができ、追加の権限昇格が発生する可能性があります。実際、Android にはこれの動作デモがあります。Twitter ユーザー @Fire30_ は、このバグを利用して Pixel 6 を root 化するデモを行いました。5.8 以降を実行している Linux デバイスには脆弱性があり、この脆弱性が 2 月 19 日に発見されてから、17 日後にPC 用 Linux ディストリビューションのパッチが公開され始めました。

ただし、Android では事情が異なります。まず、Linux 5.8 カーネルを使用しているデバイスはまだ多くありません。このバージョンは 2020 年 8 月にリリースされましたが、Android は 11 月の Android 12 のリリースで 5.4 から 5.10 にジャンプしただけです。既存のデバイスは通常、Android アップデートを受信するときにメジャー カーネル バージョンを切り替えないため、Android 12 を搭載した新しいデバイスのみが 5.10 カーネルを備えていることになります。これは、過去 8 か月ほどの間にリリースされた非常に少数の新しいデバイス、つまり Pixel 6、Galaxy S22、OnePlus 10 Pro です。

この脆弱性を発見した研究者によると、Googleは2月23日にAndroidコードベースのDirty Pipeにパッチを当てたという。SamsungはGoogleからそのコードを取得し、先月Galaxy S22に導入したが、Googleは最終的に今週ついにPixel 6ユーザーに提供するまでさらに1か月待つことになった。OnePlusは依然として遅れをとっています。

Google は Dirty Pipe を「高」重大度としてのみ分類しています。これが、同社がアップデートをすぐにリリースしなかった理由の説明になっています。Dirty Pipe はリモートから使用できないため、Android では「重大」の脆弱性レベルには達しません。このエクスプロイトを使用するにはローカル アクセスが必要ですが、他に既知の脆弱性がない限り、悪意のあるものをインストールしない限り安全です。

他の Android アップデートのニュースでは、ミッドレンジの Pixel 3a ラインの終わりが目前に迫っていることが報じられています。3 年間にわたる OS のメジャー アップデートを経て、2022 年 5 月がPixel 3a OS の最後の公式リリースとなります。Googleは9to5Googleに対し、同端末は2022年7月までに最終アップデートを受け取る予定だと語った。