Pixel 6 får äntligen Dirty Pipe-patchen, en månad efter Galaxy S22

Säkerhetsuppdateringen för Android för maj är ute , vilket innebär att Pixel 6 äntligen får en patch för sårbarheten Dirty Pipe. Uppdateringen kommer en månad efter att Samsung skickade Galaxy S22-patchen till Google, men den är åtminstone äntligen här.

Dirty Pipe, även känd som CVE-2022-0847, är en av de största Linux-sårbarheterna på senare år. Sårbarheten tillåter en oprivilegierad användare att skriva över skrivskyddad data, vilket kan leda till ytterligare behörighetseskalering. Android har faktiskt en fungerande demo av detta. Twitter-användaren @Fire30_ gjorde en demo av att använda buggen för att rota Pixel 6. Linux-enheter som kör 5.8 och högre är sårbara, och efter att sårbarheten upptäcktes den 19 februari började patchar för Linux-distributioner för PC rullas ut 17 dagar senare .

Men det är annorlunda med Android. För det första använder inte många enheter Linux 5.8-kärnan ännu. Även om den här versionen släpptes i augusti 2020, hoppade Android bara från 5.4 till 5.10 med lanseringen av Android 12 i november. Eftersom befintliga enheter vanligtvis inte växlar mellan större kärnversioner när de får en Android-uppdatering, betyder det att endast nya enheter med Android 12 har 5.10-kärnan. Detta är ett mycket litet antal nya enheter som släppts under de senaste åtta månaderna eller så, nämligen Pixel 6, Galaxy S22 och OnePlus 10 Pro.

Enligt forskaren som upptäckte sårbarheten patchade Google Dirty Pipe i Android-kodbasen den 23 februari. Samsung tog den koden från Google och rullade ut den på Galaxy S22 förra månaden, men det slutade med att Google väntade en extra månad på att den äntligen skulle träffa Pixel 6-användare den här veckan. OnePlus släpar fortfarande efter.

Google klassificerar bara Dirty Pipe som ”hög” svårighetsgrad, vilket förklarar varför företaget inte släppte en uppdatering snabbt. Dirty Pipe når inte den ”kritiska” sårbarhetsnivån på Android eftersom den inte kan användas på distans. Du behöver lokal åtkomst för att använda exploateringen, och så länge det inte finns några andra kända sårbarheter bör du vara säker så länge du inte installerar något skadligt.

I andra Android-uppdateringsnyheter är slutet på mellanklassen Pixel 3a precis runt hörnet. Efter tre år av stora OS-uppdateringar markerar maj 2022 den sista officiella versionen av Pixel 3a OS. Google berättade för 9to5Google att enheten kommer att få den slutliga uppdateringen i juli 2022.