Dirty Pipe Fix: Samsung implementa Google Code mais rápido que o Google

Dirty Pipe Fix: Samsung implementa Google Code mais rápido que o Google

O Dirty Pipe é uma das vulnerabilidades mais graves do kernel do Linux nos últimos anos. O bug permite que um usuário sem privilégios substitua dados somente leitura, o que pode resultar em escalonamento de privilégios. O bug foi corrigido em 19 de fevereiro e, para versões do Linux como o Unbuntu, um patch foi escrito e lançado para os usuários finais em cerca de 17 dias. O Android é baseado no Linux, portanto, os fabricantes do Google e do Android também precisam corrigir o bug.

Já se passou um mês inteiro desde o lançamento do desktop Linux, então, como está o Android?

De acordo com uma linha do tempo fornecida por Max Kellermann, o pesquisador que descobriu a vulnerabilidade, o Google corrigiu o Dirty Pipe na base de código do Android em 23 de fevereiro. Mas o ecossistema Android é notoriamente ruim em fornecer código atualizado aos usuários. De certa forma, a lentidão do Android ajudou nessa vulnerabilidade. O bug apareceu no Linux 5.8, lançado em agosto de 2020. Então, por que o bug não se espalhou por todo o ecossistema Android nos últimos dois anos?

O suporte ao Linux no Android saltou apenas de 5.4 para 5.10 com o lançamento do Android 12 há seis meses, e os telefones Android geralmente não saltam das principais versões do kernel. Apenas os novos telefones obtêm o kernel mais recente e tendem a usar atualizações de suporte menores e de longo prazo até serem retirados.

A implantação lenta do kernel do Android significa que o bug afeta apenas os novos telefones 2022, ou seja, dispositivos de kernel 5.10, como Google Pixel 6, Samsung Galaxy S22 e OnePlus 10 Pro. A vulnerabilidade já foi transformada em uma exploração funcional com privilégios de root para o Pixel 6 e S22.

A empresa não respondeu às nossas (ou outras) perguntas sobre o que aconteceu com o patch, mas é razoável esperar que o Pixel 6 já tenha a correção. Este é um telefone do Google com um chip do Google executando o sistema operacional do Google, portanto, a empresa deve ser capaz de lançar uma atualização rapidamente. Depois que a correção atingiu a base de código no final de fevereiro, muitas ROMs de terceiros, como o GrapheneOS , conseguiram integrar a correção no início de março.

Parece que a Samsung realmente superou o Google ao lançar um patch. A Samsung lista uma correção para CVE-2022-0847 em seu próprio boletim de segurança , indicando que a correção se aplica ao Galaxy S22. A Samsung separa as vulnerabilidades em bugs do Android e bugs da Samsung e relata que o CVE-2022-0847 está contido no boletim de segurança do Android de abril do Google, embora isso não seja verdade. Ou a Samsung optou por uma correção e não a listou em seu boletim, ou o Google removeu a correção do Pixel 6 no último minuto.

O patch atingiu o repositório de código-fonte do Android há 40 dias. Agora que o bug é público e está disponível para todos, parece que o Google precisa agir mais rápido para corrigi-lo.

News
admin

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

iQoo 9 recebe nova opção de cor laranja Phoenix: preço, especificações
Apple anuncia datas e detalhes da WWDC 2022
Como transmitir UFC Fight Pass em um Android, FireTV, Apple TV ou Smart TV

Como transmitir UFC Fight Pass em um Android, FireTV, Apple TV ou Smart TV

  • 13 Jun 2023
  • 90
Como reparar problemas de gravação de tela do Samsung Galaxy S22/Plus/Ultra

Como reparar problemas de gravação de tela do Samsung Galaxy S22/Plus/Ultra

  • 08 Jun 2023
  • 93
Como entrar no modo de recuperação em um Samsung Galaxy S20

Como entrar no modo de recuperação em um Samsung Galaxy S20

  • 02 Jun 2023
  • 95