Dirty Pipe Fix: Samsung implementeert Google-code sneller dan Google

Dirty Pipe Fix: Samsung implementeert Google-code sneller dan Google

Dirty Pipe is een van de ernstigste kwetsbaarheden in de Linux-kernel van de afgelopen jaren. Door de bug kan een niet-geprivilegieerde gebruiker alleen-lezen gegevens overschrijven, wat kan leiden tot escalatie van bevoegdheden. De bug werd op 19 februari verholpen en voor versies van Linux zoals Unbuntu werd in ongeveer 17 dagen een patch geschreven en vrijgegeven aan eindgebruikers. Android is gebaseerd op Linux, dus ook Google en Android-fabrikanten moeten de bug oplossen.

Het is een hele maand geleden sinds de Linux-desktoprelease, dus hoe gaat het met Android?

Volgens een tijdlijn van Max Kellermann, de onderzoeker die de kwetsbaarheid ontdekte, heeft Google op 23 februari Dirty Pipe gepatcht in de Android-codebase. Maar het Android-ecosysteem is notoir slecht in het leveren van bijgewerkte code aan gebruikers. In zekere zin hielp de traagheid van Android bij deze kwetsbaarheid. De bug verscheen in Linux 5.8, uitgebracht in augustus 2020. Dus waarom heeft de bug zich de afgelopen twee jaar niet wijd en zijd verspreid over het Android-ecosysteem?

Linux-ondersteuning in Android sprong alleen van 5.4 naar 5.10 met de release van Android 12 zes maanden geleden, en Android-telefoons springen meestal niet over van belangrijke kernelversies. Alleen nieuwe telefoons krijgen de nieuwste kernel, en dan hebben ze de neiging om kleine, langdurige ondersteuningsupdates te gebruiken totdat ze met pensioen gaan.

De trage uitrol van de Android-kernel betekent dat de bug alleen van invloed is op nieuwe 2022-telefoons, dwz 5.10-kernelapparaten zoals Google Pixel 6, Samsung Galaxy S22 en OnePlus 10 Pro. De kwetsbaarheid is al omgezet in een werkende exploit met rootrechten voor de Pixel 6 en S22.

Het bedrijf heeft onze (of andere) vragen over wat er met de patch is gebeurd niet beantwoord , maar het is redelijk om te verwachten dat de Pixel 6 de oplossing inmiddels heeft. Dit is een Google-telefoon met een Google-chip waarop Google OS draait, dus het bedrijf zou snel een update moeten kunnen uitrollen. Nadat de fix eind februari de codebase bereikte, konden veel ROM’s van derden, zoals GrapheneOS , de fix begin maart integreren.

Het lijkt erop dat Samsung Google echt voor is door een patch uit te brengen. Samsung vermeldt een oplossing voor CVE-2022-0847 in zijn eigen beveiligingsbulletin , wat aangeeft dat de oplossing van toepassing is op de Galaxy S22. Samsung scheidt de kwetsbaarheden in Android-bugs en Samsung-bugs en meldt dat CVE-2022-0847 is opgenomen in het Android-beveiligingsbulletin van april van Google, hoewel dit niet waar is. Of Samsung koos voor een oplossing en vermeldde deze niet in hun bulletin, of Google verwijderde de oplossing op het laatste moment van de Pixel 6.

De patch kwam 40 dagen geleden in de broncode-opslagplaats van Android terecht. Nu de bug openbaar is en voor iedereen beschikbaar is, lijkt het erop dat Google sneller moet handelen om een ​​oplossing te bieden.

News
admin

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

iQoo 9 krijgt nieuwe kleuroptie Phoenix Orange: prijs, specificaties
Apple kondigt data en details aan voor WWDC 2022
UFC Fight Pass streamen op een Android, FireTV, Apple TV of Smart TV

UFC Fight Pass streamen op een Android, FireTV, Apple TV of Smart TV

  • 13 jun 2023
  • 165
Hoe Samsung Galaxy S22 / Plus / Ultra schermopnameproblemen te repareren

Hoe Samsung Galaxy S22 / Plus / Ultra schermopnameproblemen te repareren

  • 08 jun 2023
  • 173
Hoe de herstelmodus te openen op een Samsung Galaxy S20

Hoe de herstelmodus te openen op een Samsung Galaxy S20

  • 02 jun 2023
  • 162