臟管修復:三星比 Google 更快地執行 Google 代碼

臟管修復:三星比 Google 更快地執行 Google 代碼

Dirty Pipe 是近年來最嚴重的 Linux 內核漏洞之一。該錯誤允許非特權用戶覆蓋只讀數據,這可能導致權限升級。該錯誤於 2 月 19 日得到修復,對於 Unbuntu 等 Linux 版本,大約 17 天就編寫了補丁並向最終用戶發布。Android是基於Linux的,因此谷歌和Android廠商也需要修復該bug。

Linux桌面發布已經整整一個月了,那麼Android表現如何呢?

根據發現該漏洞的研究人員 Max Kellermann 提供的時間表,谷歌於 2 月 23 日修補了 Android 代碼庫中的 Dirty Pipe。但眾所周知,Android 生態系統在向用戶提供更新的代碼方面表現不佳。在某種程度上,Android 的緩慢性有助於解決此漏洞。該錯誤出現在 2020 年 8 月發布的 Linux 5.8 中。那麼為什麼在過去兩年中該錯誤沒有在 Android 生態系統中廣泛傳播呢?

隨著六個月前 Android 12 的發布,Android 中的 Linux 支持才從 5.4 躍升至 5.10,而且 Android 手機通常不會從主要內核版本跳轉。只有新手機才會獲得最新的內核,然後它們往往會使用較小的長期支持更新,直到它們退役。

Android 內核的緩慢推出意味著該錯誤僅影響 2022 年新手機,即 5.10 內核設備,例如 Google Pixel 6、三星 Galaxy S22 和 OnePlus 10 Pro。該漏洞已被轉化為適用於 Pixel 6 和 S22 的具有 root 權限的有效漏洞。

該公司沒有回答我們(或其他)有關該補丁發生了什麼的問題,但有理由預計 Pixel 6 現在已經修復了該問題。這是一款搭載谷歌芯片、運行谷歌操作系統的谷歌手機,因此該公司應該能夠快速推出更新。在 2 月底修復程序到達代碼庫後,許多第三方 ROM(例如GrapheneOS)能夠在 3 月初集成該修復程序。

看起來三星確實領先於谷歌發布了補丁。三星在自己的 安全公告中列出了 CVE-2022-0847 的修復程序,表明該修復程序適用於 Galaxy S22。三星將這些漏洞分為 Android bug 和 Samsung bug,並報告稱 CVE-2022-0847 包含在 Google 4 月份的 Android 安全公告中,儘管事實並非如此。要么三星選擇修復並沒有在公告中列出,要么谷歌在最後一刻從 Pixel 6 上刪除了修復程序。

該補丁於 40 天前發佈在 Android 源代碼存儲庫中。既然該錯誤已公開並且可供所有人使用,那麼谷歌似乎需要更快地採取行動來提供修復程序。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *