Dirty Pipe Fix: Samsung implementerar Google Code snabbare än Google
Dirty Pipe är en av de allvarligaste sårbarheterna i Linux-kärnan på senare år. Felet tillåter en oprivilegierad användare att skriva över skrivskyddad data, vilket kan resultera i behörighetseskalering. Felet fixades den 19 februari och för versioner av Linux som Unbuntu skrevs en patch och släpptes till slutanvändare på cirka 17 dagar. Android är baserat på Linux, så Google och Android-tillverkare måste också fixa buggen.
Det har gått en hel månad sedan Linux-versionen av skrivbordet, så hur går det för Android?
Enligt en tidslinje från Max Kellermann, forskaren som upptäckte sårbarheten, patchade Google Dirty Pipe i Android-kodbasen den 23 februari. Men Android-ekosystemet är notoriskt dåligt på att leverera uppdaterad kod till användarna. På ett sätt hjälpte Androids långsamhet mot denna sårbarhet. Felet dök upp i Linux 5.8, släppt i augusti 2020. Så varför har inte felet spridit sig över hela Android-ekosystemet under de senaste två åren?
Linux-stödet i Android hoppade bara från 5.4 till 5.10 med lanseringen av Android 12 för sex månader sedan, och Android-telefoner hoppar vanligtvis inte från större kärnversioner. Endast nya telefoner får den senaste kärnan, och sedan tenderar de att använda mindre, långsiktiga supportuppdateringar tills de går i pension.
Den långsamma utrullningen av Android-kärnan gör att buggen bara påverkar nya 2022-telefoner, dvs 5.10-kärnenheter som Google Pixel 6, Samsung Galaxy S22 och OnePlus 10 Pro. Sårbarheten har redan förvandlats till en fungerande exploatering med root-privilegier för Pixel 6 och S22.
Företaget svarade inte på våra (eller andra) frågor om vad som hände med patchen, men det är rimligt att förvänta sig att Pixel 6 har fixat det nu. Det här är en Google-telefon med ett Google-chip som kör Google OS, så företaget borde kunna rulla ut en uppdatering snabbt. Efter att korrigeringen träffade kodbasen i slutet av februari, kunde många tredjeparts-ROM som GrapheneOS integrera korrigeringen i början av mars.
Det ser ut som att Samsung verkligen gått före Google genom att utfärda en patch. Samsung listar en korrigering för CVE-2022-0847 i sin egen säkerhetsbulletin , vilket indikerar att korrigeringen gäller Galaxy S22. Samsung delar upp sårbarheterna i Android-buggar och Samsung-buggar och rapporterar att CVE-2022-0847 finns i Googles Android-säkerhetsbulletin för april, även om detta inte är sant. Antingen valde Samsung en fix och listade den inte i sin bulletin, eller så tog Google bort fixen från Pixel 6 i sista minuten.
Patchen träffade Androids källkodsförråd för 40 dagar sedan. Nu när felet är offentligt och tillgängligt för alla verkar det som att Google måste agera snabbare för att fixa.
Lämna ett svar