Mēnesi pēc Galaxy S22 tālrunis Pixel 6 beidzot saņem Dirty Pipe ielāpu

Maija Android drošības atjauninājums ir iznācis , kas nozīmē, ka Pixel 6 beidzot saņem ielāpu Dirty Pipe ievainojamībai. Atjauninājums nāk mēnesi pēc tam, kad Samsung nosūtīja Galaxy S22 ielāpu Google, bet vismaz tas beidzot ir šeit.

Dirty Pipe, kas pazīstams arī kā CVE-2022-0847, ir viena no lielākajām Linux ievainojamībām pēdējos gados. Ievainojamība ļauj nepiederošam lietotājam pārrakstīt tikai lasāmus datus, kas var izraisīt papildu privilēģiju eskalāciju. Patiesībā Android ir šī darba demonstrācija. Twitter lietotājs @Fire30_ veica demonstrāciju par kļūdas izmantošanu, lai sakņotu Pixel 6. Linux ierīces, kurās darbojas 5.8 un jaunākas versijas, ir neaizsargātas, un pēc ievainojamības atklāšanas 19. februārī datoriem paredzēto Linux izplatījumu ielāpi tika ieviesti 17 dienas vēlāk .

Tomēr ar Android lietas ir atšķirīgas. Pirmkārt, vēl ne daudzas ierīces izmanto Linux 5.8 kodolu. Lai gan šī versija tika izlaista 2020. gada augustā, Android versija no 5.4 uzlēca uz 5.10 tikai līdz ar Android 12 izlaišanu novembrī. Tā kā esošās ierīces parasti nepārslēdzas starp galvenajām kodola versijām, saņemot Android atjauninājumu, tas nozīmē, ka tikai jaunajām ierīcēm ar operētājsistēmu Android 12 ir kodols 5.10. Šis ir ļoti neliels skaits jaunu ierīču, kas izlaistas pēdējo astoņu mēnešu laikā, proti, Pixel 6, Galaxy S22 un OnePlus 10 Pro.

Saskaņā ar pētnieka, kurš atklāja ievainojamību, teikto, Google 23. februārī izlaboja Dirty Pipe Android kodu bāzē. Samsung paņēma šo kodu no Google un izlaida to Galaxy S22 pagājušajā mēnesī, taču Google galu galā gaidīja papildu mēnesi, lai šonedēļ tas beidzot sasniegtu Pixel 6 lietotājus. OnePlus joprojām atpaliek.

Google Dirty Pipe klasificē tikai kā “augstu” smagumu, kas izskaidro, kāpēc uzņēmums ātri neizlaida atjauninājumu. Dirty Pipe nesasniedz “kritisko” ievainojamības līmeni operētājsistēmā Android, jo to nevar izmantot attālināti. Lai izmantotu izlietojumu, jums ir nepieciešama vietēja piekļuve, un, kamēr nav citu zināmu ievainojamību, jums vajadzētu būt drošībā, kamēr neinstalējat neko ļaunprātīgu.

Citās Android atjauninājumu ziņās vidējās klases Pixel 3a līnijas beigas ir tepat aiz stūra. Pēc trīs gadus ilgušiem lieliem operētājsistēmas atjauninājumiem 2022. gada maijs iezīmē pēdējo oficiālo Pixel 3a OS izlaišanu. Google paziņoja 9to5Google , ka ierīce saņems galīgo atjauninājumu līdz 2022. gada jūlijam.