Pixel 6 finalmente recebe o patch Dirty Pipe, um mês depois do Galaxy S22

A atualização de segurança do Android de maio foi lançada , o que significa que o Pixel 6 está finalmente recebendo um patch para a vulnerabilidade Dirty Pipe. A atualização chega um mês depois que a Samsung enviou o patch do Galaxy S22 para o Google, mas pelo menos finalmente chegou.

Dirty Pipe, também conhecido como CVE-2022-0847, é uma das maiores vulnerabilidades do Linux nos últimos anos. A vulnerabilidade permite que um usuário sem privilégios substitua dados somente leitura, o que pode levar a uma escalação de privilégio adicional. Na verdade, o Android tem uma demonstração funcional disso. O usuário do Twitter @Fire30_ fez uma demonstração de como usar o bug para fazer root no Pixel 6. Dispositivos Linux rodando 5.8 e superior são vulneráveis, e depois que a vulnerabilidade foi descoberta em 19 de fevereiro, patches para distribuições Linux para PCs começaram a ser lançados 17 dias depois .

No entanto, as coisas são diferentes com o Android. Primeiro, muitos dispositivos ainda não usam o kernel Linux 5.8. Apesar dessa versão ter sido lançada em agosto de 2020, o Android só saltou de 5.4 para 5.10 com o lançamento do Android 12 em novembro. Como os dispositivos existentes geralmente não alternam entre as principais versões do kernel quando recebem uma atualização do Android, isso significa que apenas os novos dispositivos com Android 12 têm o kernel 5.10. Este é um número muito pequeno de novos dispositivos lançados nos últimos oito meses, ou seja, o Pixel 6, Galaxy S22 e OnePlus 10 Pro.

De acordo com o pesquisador que descobriu a vulnerabilidade, o Google corrigiu o Dirty Pipe na base de código do Android em 23 de fevereiro. A Samsung pegou esse código do Google e o lançou no Galaxy S22 no mês passado, mas o Google acabou esperando mais um mês para finalmente atingir os usuários do Pixel 6 esta semana. OnePlus ainda está ficando para trás.

O Google classifica apenas o Dirty Pipe como de gravidade “alta”, o que explica por que a empresa não lançou uma atualização rapidamente. O Dirty Pipe não atinge o nível de vulnerabilidade “crítico” no Android porque não pode ser usado remotamente. Você precisa de acesso local para usar a exploração e, desde que não haja outras vulnerabilidades conhecidas, você deve estar seguro, desde que não instale nada malicioso.

Em outras notícias de atualização do Android, o fim da linha intermediária do Pixel 3a está chegando. Após três anos de grandes atualizações do sistema operacional, maio de 2022 marca o último lançamento oficial do sistema operacional Pixel 3a. O Google disse ao 9to5Google que o dispositivo receberá a atualização final até julho de 2022.