Вышло майское обновление безопасности для Android , а это значит, что Pixel 6 наконец-то получает патч для уязвимости Dirty Pipe. Обновление появилось через месяц после того, как Samsung отправила патч для Galaxy S22 в Google, но, по крайней мере, оно наконец-то здесь.
Dirty Pipe, также известная как CVE-2022-0847, является одной из крупнейших уязвимостей Linux за последние годы. Уязвимость позволяет непривилегированному пользователю перезаписывать данные только для чтения, что может привести к дополнительному повышению привилегий. На самом деле у Android есть рабочая демонстрация этого. Пользователь Twitter @Fire30_ провел демонстрацию использования ошибки для рутирования Pixel 6. Устройства с Linux под управлением 5.8 и выше уязвимы, и после того, как 19 февраля уязвимость была обнаружена, через 17 дней начали выпускаться исправления для дистрибутивов Linux для ПК .
Однако с Android дела обстоят иначе. Во-первых, пока не так много устройств используют ядро Linux 5.8. Несмотря на то, что эта версия была выпущена в августе 2020 года, Android подскочил с 5.4 до 5.10 только с выпуском Android 12 в ноябре. Поскольку существующие устройства обычно не переключаются между основными версиями ядра при получении обновления Android, это означает, что только новые устройства с Android 12 имеют ядро 5.10. Это очень небольшое количество новых устройств, выпущенных за последние восемь месяцев или около того, а именно Pixel 6, Galaxy S22 и OnePlus 10 Pro.
По словам исследователя, обнаружившего уязвимость, Google исправила Dirty Pipe в кодовой базе Android 23 февраля. Samsung взяла этот код у Google и развернула его на Galaxy S22 в прошлом месяце, но в итоге Google ждала дополнительный месяц, прежде чем на этой неделе он, наконец, появится у пользователей Pixel 6. OnePlus по-прежнему отстает.
Google классифицирует Dirty Pipe только как «высокую» серьезность, что объясняет, почему компания не выпустила обновление быстро. Dirty Pipe не достигает «критического» уровня уязвимости на Android, потому что его нельзя использовать удаленно. Вам нужен локальный доступ, чтобы использовать эксплойт, и пока нет других известных уязвимостей, вы должны быть в безопасности, пока не установите ничего вредоносного.
Из других новостей об обновлениях Android следует отметить, что конец линейки Pixel 3a среднего класса не за горами. После трех лет крупных обновлений ОС май 2022 года знаменует собой последний официальный выпуск ОС Pixel 3a. Google сообщил 9to5Google , что устройство получит окончательное обновление к июлю 2022 года.