Dirty Pipe Fix: Samsung впроваджує код Google швидше, ніж Google

Dirty Pipe — одна з найсерйозніших уразливостей ядра Linux за останні роки. Помилка дозволяє непривілейованому користувачеві перезаписувати дані лише для читання, що може призвести до підвищення привілеїв. Помилка була виправлена ​​19 лютого, а для таких версій Linux, як Unbuntu, було написано патч і випущено для кінцевих користувачів приблизно через 17 днів. Android базується на Linux, тому Google і виробники Android також повинні виправити помилку.

Минув цілий місяць після випуску Linux для робочого столу, тож як справи з Android?

Відповідно до графіку, наданого Максом Келлерманом, дослідником, який виявив вразливість, Google виправив Dirty Pipe у кодовій базі Android 23 лютого. Але екосистема Android, як відомо, погано надає користувачам оновлений код. У певному сенсі повільність Android допомогла вирішити цю вразливість. Помилка з’явилася в Linux 5.8, випущеній у серпні 2020 року. Тож чому за останні два роки ця помилка не поширилася далеко й широко в екосистемі Android?

Підтримка Linux в Android збільшилася з 5.4 до 5.10 лише з випуском Android 12 шість місяців тому, а телефони Android зазвичай не переходять з основних версій ядра. Лише нові телефони отримують найновіше ядро, а потім вони, як правило, використовують незначні довгострокові оновлення підтримки, доки їх не припинять.

Повільне розгортання ядра Android означає, що помилка стосується лише нових телефонів 2022 року, тобто пристроїв з ядром 5.10, таких як Google Pixel 6, Samsung Galaxy S22 і OnePlus 10 Pro. Уразливість уже перетворили на робочий експлойт із правами root для Pixel 6 і S22.

Компанія не відповіла на наші (або інші) запитання про те, що сталося з виправленням, але розумно очікувати, що Pixel 6 уже має виправлення. Це телефон Google із чіпом Google під керуванням ОС Google, тому компанія повинна мати можливість швидко розгорнути оновлення. Після того, як виправлення з’явилося в кодовій базі наприкінці лютого, багато сторонніх ПЗУ, наприклад GrapheneOS , змогли інтегрувати виправлення на початку березня.

Схоже, Samsung дійсно випередила Google, випустивши патч. Samsung перераховує виправлення для CVE-2022-0847 у своєму власному бюлетені безпеки , вказуючи, що виправлення стосується Galaxy S22. Samsung розділяє вразливості на помилки Android і помилки Samsung і повідомляє, що CVE-2022-0847 міститься в квітневому бюлетені безпеки Android від Google, хоча це неправда. Або Samsung обрала виправлення й не вказала його у своєму бюлетені, або Google видалив виправлення з Pixel 6 в останню хвилину.

Патч потрапив у сховище вихідного коду Android 40 днів тому. Тепер, коли помилка є загальнодоступною та доступною для всіх, здається, Google має діяти швидше, щоб виправити її.