더티 파이프 수정: 삼성은 Google보다 더 빠르게 Google 코드를 구현합니다.

Dirty Pipe는 최근 몇 년 동안 가장 심각한 Linux 커널 취약점 중 하나입니다. 이 버그로 인해 권한이 없는 사용자가 읽기 전용 데이터를 덮어쓸 수 있어 권한 상승이 발생할 수 있습니다. 이 버그는 2월 19일에 수정되었으며 Unbuntu와 같은 Linux 버전의 경우 패치가 작성되어 약 17일 만에 최종 사용자 에게 릴리스되었습니다. 안드로이드는 리눅스 기반이기 때문에 구글과 안드로이드 제조사도 버그 수정이 필요하다.

Linux 데스크톱이 출시된 지 한 달이 지났는데 Android는 어떻습니까?

취약점을 발견한 연구원 Max Kellermann이 제공한 타임라인 에 따르면 Google은 2월 23일 Android 코드베이스에서 Dirty Pipe를 패치했습니다. 그러나 Android 생태계는 업데이트된 코드를 사용자에게 제공하는 데 악명이 높습니다. 어떤 면에서는 Android의 느린 속도가 이 취약점을 해결하는 데 도움이 되었습니다. 이 버그는 2020년 8월에 출시된 Linux 5.8에서 나타났습니다. 그렇다면 지난 2년 동안 Android 생태계 전체에 버그가 널리 퍼지지 않은 이유는 무엇입니까?

Android의 Linux 지원은 6개월 전 Android 12 출시와 함께 5.4에서 5.10으로만 증가했으며 Android 휴대폰은 일반적으로 주요 커널 버전에서 이동하지 않습니다. 새 전화기에만 최신 커널이 설치되며 폐기될 때까지 사소한 장기 지원 업데이트를 사용하는 경향이 있습니다.

Android 커널의 느린 롤아웃은 버그가 Google Pixel 6, Samsung Galaxy S22 및 OnePlus 10 Pro와 같은 5.10 커널 장치와 같은 새로운 2022년 휴대폰에만 영향을 미친다는 것을 의미합니다. 이 취약점은 이미 Pixel 6 및 S22에 대한 루트 권한을 가진 작업 익스플로잇으로 전환되었습니다.

회사는 패치로 발생한 문제에 대한 우리(또는 다른) 질문에 대답하지 않았지만 지금쯤 Pixel 6에 수정 사항이 있을 것으로 기대하는 것이 합리적입니다. Google OS를 실행하는 Google 칩이 장착된 Google 전화이므로 회사에서 업데이트를 신속하게 출시할 수 있어야 합니다. 2월 말 수정 사항이 코드베이스에 적용된 후 GrapheneOS 와 같은 많은 타사 ROM이 3월 초에 수정 사항을 통합할 수 있었습니다 .

정말 삼성이 패치를 내서 구글을 앞선 것 같습니다. 삼성은 자체 보안 게시판 에 CVE-2022-0847에 대한 수정 사항을 나열하여 수정 사항이 Galaxy S22에 적용됨을 나타냅니다. 삼성은 해당 취약점을 안드로이드 버그와 삼성 버그로 구분해 CVE-2022-0847이 구글의 4월 안드로이드 보안 게시판에 포함되어 있다고 보고하고 있지만 이는 사실이 아니다. 삼성이 수정 사항을 선택하고 게시판에 나열하지 않았거나 Google이 마지막 순간에 Pixel 6에서 수정 사항을 제거했습니다.

패치는 40일 전에 Android 소스 코드 저장소에 도달했습니다. 이제 버그가 공개되어 모든 사람이 사용할 수 있으므로 Google에서 수정 사항을 제공하기 위해 더 빠르게 조치를 취해야 할 것 같습니다.