Pixel 6 нарешті отримав патч Dirty Pipe через місяць після Galaxy S22

Вийшло травневе оновлення безпеки Android , що означає, що Pixel 6 нарешті отримав виправлення для вразливості Dirty Pipe. Оновлення з’явилося через місяць після того, як Samsung надіслала Google виправлення для Galaxy S22, але принаймні воно нарешті тут.

Dirty Pipe, також відомий як CVE-2022-0847, є однією з найбільших уразливостей Linux за останні роки. Уразливість дозволяє непривілейованому користувачеві перезаписувати дані лише для читання, що може призвести до додаткового підвищення привілеїв. Насправді Android має робочу демонстрацію цього. Користувач Twitter @Fire30_ зробив демонстрацію використання помилки для рутування Pixel 6. Пристрої Linux під керуванням 5.8 і новіших версій уразливі, і після того, як уразливість було виявлено 19 лютого, через 17 днів почали надходити виправлення для дистрибутивів Linux для ПК .

Однак з Android все інакше. По-перше, ще не багато пристроїв використовують ядро ​​Linux 5.8. Незважаючи на те, що ця версія була випущена в серпні 2020 року, Android перескочив з 5.4 до 5.10 лише з випуском Android 12 у листопаді. Оскільки наявні пристрої зазвичай не перемикаються між основними версіями ядра, коли вони отримують оновлення Android, це означає, що лише нові пристрої з Android 12 мають ядро ​​5.10. Це дуже невелика кількість нових пристроїв, випущених за останні вісім місяців або близько того, а саме Pixel 6, Galaxy S22 і OnePlus 10 Pro.

За словами дослідника, який виявив уразливість, 23 лютого Google виправив Dirty Pipe у кодовій базі Android. Samsung взяла цей код від Google і розгорнула його на Galaxy S22 минулого місяця, але в підсумку Google чекала додатковий місяць, поки він нарешті не з’явиться у користувачів Pixel 6 цього тижня. OnePlus все ще відстає.

Google класифікує Dirty Pipe лише як «високий» рівень серйозності, що пояснює, чому компанія не швидко випустила оновлення. Dirty Pipe не досягає «критичного» рівня вразливості на Android, оскільки його не можна використовувати віддалено. Щоб використовувати експлойт, вам потрібен локальний доступ, і якщо немає інших відомих уразливостей, ви повинні бути в безпеці, якщо не встановите нічого шкідливого.

В інших новинах про оновлення Android – кінець лінійки Pixel 3a середнього класу не за горами. Після трьох років основних оновлень ОС у травні 2022 року вийде останній офіційний випуск ОС Pixel 3a. Google повідомила 9to5Google , що пристрій отримає остаточне оновлення до липня 2022 року.