Pixel 6 w końcu otrzymuje łatkę Dirty Pipe, miesiąc po Galaxy S22

Majowa aktualizacja zabezpieczeń Androida jest już dostępna , co oznacza, że ​​Pixel 6 wreszcie otrzymuje łatkę na lukę w zabezpieczeniach Dirty Pipe. Aktualizacja pojawia się miesiąc po tym, jak Samsung wysłał łatkę Galaxy S22 do Google, ale przynajmniej w końcu jest.

Dirty Pipe, znana również jako CVE-2022-0847, jest jedną z największych luk w Linuksie ostatnich lat. Luka umożliwia nieuprzywilejowanemu użytkownikowi zastąpienie danych tylko do odczytu, co może prowadzić do dodatkowego zwiększenia uprawnień. Właściwie Android ma działającą wersję demonstracyjną tego. Użytkownik Twittera @Fire30_ wykonał demo wykorzystania błędu do zrootowania Pixela 6. Urządzenia z systemem Linux w wersji 5.8 i nowszej są podatne na ataki, a po wykryciu luki 19 lutego 17 dni później zaczęły pojawiać się łatki dla dystrybucji Linuksa na komputery PC .

Jednak z Androidem jest inaczej. Po pierwsze, niewiele urządzeń korzysta jeszcze z jądra Linuksa 5.8. Mimo że ta wersja została wydana w sierpniu 2020 r., Android skoczył z wersji 5.4 do 5.10 dopiero wraz z wydaniem Androida 12 w listopadzie. Ponieważ istniejące urządzenia zwykle nie przełączają się między głównymi wersjami jądra po otrzymaniu aktualizacji Androida, oznacza to, że tylko nowe urządzenia z Androidem 12 mają jądro 5.10. To bardzo mała liczba nowych urządzeń wydanych w ciągu ostatnich ośmiu miesięcy, a mianowicie Pixel 6, Galaxy S22 i OnePlus 10 Pro.

Według badacza, który odkrył lukę, Google załatał Dirty Pipe w kodzie Androida 23 lutego. Samsung wziął ten kod od Google i wdrożył go w Galaxy S22 w zeszłym miesiącu, ale Google ostatecznie czekał dodatkowy miesiąc, aż w końcu trafi do użytkowników Pixela 6 w tym tygodniu. OnePlus wciąż pozostaje w tyle.

Google klasyfikuje Dirty Pipe tylko jako „wysoką” wagę, co wyjaśnia, dlaczego firma nie wydała aktualizacji szybko. Dirty Pipe nie osiąga „krytycznego” poziomu podatności na Androida, ponieważ nie można z niego korzystać zdalnie. Aby korzystać z exploita, potrzebujesz lokalnego dostępu i dopóki nie ma innych znanych luk w zabezpieczeniach, powinieneś być bezpieczny, o ile nie instalujesz niczego złośliwego.

W innych wiadomościach dotyczących aktualizacji Androida koniec linii Pixel 3a ze średniej półki jest tuż za rogiem. Po trzech latach głównych aktualizacji systemu operacyjnego w maju 2022 r. pojawiła się ostatnia oficjalna wersja systemu operacyjnego Pixel 3a. Google powiedział 9to5Google , że urządzenie otrzyma ostateczną aktualizację do lipca 2022 r.