Pixel 6는 Galaxy S22 이후 한 달 만에 마침내 Dirty Pipe 패치를 얻습니다.

5월 Android 보안 업데이트가 출시되었습니다 . 이는 Pixel 6이 마침내 Dirty Pipe 취약점에 대한 패치를 받고 있음을 의미합니다. 이 업데이트는 삼성이 Google에 Galaxy S22 패치를 보낸 지 한 달 후에 나왔지만 적어도 마침내 여기에 있습니다.

CVE-2022-0847로도 알려진 Dirty Pipe는 최근 몇 년 동안 가장 큰 Linux 취약점 중 하나입니다. 이 취약성은 권한이 없는 사용자가 읽기 전용 데이터를 덮어쓸 수 있도록 허용하여 추가 권한 에스컬레이션으로 이어질 수 있습니다. 실제로 Android에는 이에 대한 작업 데모가 있습니다. Twitter 사용자 @Fire30_는 버그를 사용하여 Pixel 6을 루팅하는 데모를 했습니다. 5.8 이상을 실행하는 Linux 장치는 취약하며, 2월 19일에 취약성이 발견된 후 17일 후에 PC용 Linux 배포용 패치가 출시되기 시작했습니다 .

그러나 Android에서는 상황이 다릅니다. 첫째, 아직 많은 장치가 Linux 5.8 커널을 사용하지 않습니다. 이 버전은 2020년 8월에 출시되었지만 Android는 11월에 Android 12가 출시되면서 5.4에서 5.10으로 뛰어올랐습니다. 기존 기기는 일반적으로 Android 업데이트를 받을 때 주요 커널 버전 간에 전환하지 않으므로 Android 12가 설치된 새 기기에만 5.10 커널이 있음을 의미합니다. 이것은 Pixel 6, Galaxy S22 및 OnePlus 10 Pro와 같이 지난 8개월 정도 동안 출시된 매우 적은 수의 새로운 장치입니다.

취약점을 발견한 연구원에 따르면 구글은 지난 2월 23일 안드로이드 코드베이스에 Dirty Pipe를 패치했다. 삼성은 이 코드를 구글에서 가져와 지난달 갤럭시 S22에 출시했지만, 구글은 결국 이번 주 픽셀 6 사용자에게 이 코드를 적용하기까지 한 달을 더 기다렸다. OnePlus는 여전히 뒤쳐져 있습니다.

Google은 Dirty Pipe를 “높음” 심각도로만 분류하므로 회사가 업데이트를 신속하게 릴리스하지 않은 이유를 설명합니다. Dirty Pipe는 원격으로 사용할 수 없기 때문에 Android에서 “심각한” 취약성 수준에 도달하지 않습니다. 익스플로잇을 사용하기 위해서는 로컬 접근이 필요하고, 다른 알려진 취약점이 없는 한, 악성 프로그램을 설치하지 않는 한 안전할 것입니다.

다른 Android 업데이트 뉴스에서는 중급 Pixel 3a 라인의 끝이 얼마 남지 않았습니다. 3년 간의 주요 OS 업데이트 후인 2022년 5월이 Pixel 3a OS의 마지막 공식 릴리스입니다. Google은 9to5Google에 기기가 2022년 7월까지 최종 업데이트를 받을 것이라고 말했습니다 .