Dirty Pipe Fix: Samsung implementerer Google Code hurtigere end Google
Dirty Pipe er en af de mest alvorlige Linux-kernesårbarheder i de seneste år. Fejlen tillader en uprivilegeret bruger at overskrive skrivebeskyttede data, hvilket kan resultere i privilegieeskalering. Fejlen blev rettet den 19. februar, og til versioner af Linux såsom Unbuntu blev der skrevet en patch og frigivet til slutbrugere på omkring 17 dage. Android er baseret på Linux, så Google og Android-producenter skal også rette fejlen.
Der er gået en hel måned siden Linux desktop-udgivelsen, så hvordan går det med Android?
Ifølge en tidslinje leveret af Max Kellermann, forskeren, der opdagede sårbarheden, lappede Google Dirty Pipe i Android-kodebasen den 23. februar. Men Android-økosystemet er notorisk dårligt til at levere opdateret kode til brugerne. På en måde hjalp Androids langsommelighed med denne sårbarhed. Fejlen dukkede op i Linux 5.8, udgivet i august 2020. Så hvorfor har fejlen ikke spredt sig vidt og bredt over Android-økosystemet i de seneste to år?
Linux-understøttelse i Android steg kun fra 5.4 til 5.10 med udgivelsen af Android 12 for seks måneder siden, og Android-telefoner springer normalt ikke fra større kerneversioner. Kun nye telefoner får den seneste kerne, og så har de en tendens til at bruge mindre, langsigtede supportopdateringer, indtil de går på pension.
Den langsomme udrulning af Android-kernen betyder, at fejlen kun påvirker nye 2022-telefoner, dvs. 5.10-kerne-enheder såsom Google Pixel 6, Samsung Galaxy S22 og OnePlus 10 Pro. Sårbarheden er allerede blevet omdannet til en fungerende udnyttelse med root-rettigheder til Pixel 6 og S22.
Virksomheden besvarede ikke vores (eller andre) spørgsmål om, hvad der skete med patchen, men det er rimeligt at forvente, at Pixel 6 har rettelsen nu. Dette er en Google-telefon med en Google-chip, der kører Google OS, så virksomheden burde være i stand til at udrulle en opdatering hurtigt. Efter rettelsen ramte kodebasen i slutningen af februar, var mange tredjeparts ROM’er såsom GrapheneOS i stand til at integrere rettelsen i begyndelsen af marts.
Det ser ud til, at Samsung virkelig er gået foran Google ved at udstede en patch. Samsung angiver en rettelse til CVE-2022-0847 i sin egen sikkerhedsbulletin , hvilket indikerer, at rettelsen gælder for Galaxy S22. Samsung adskiller sårbarhederne i Android-fejl og Samsung-fejl og rapporterer, at CVE-2022-0847 er indeholdt i Googles Android-sikkerhedsbulletin fra april, selvom dette ikke er sandt. Enten valgte Samsung en rettelse og anførte den ikke i deres bulletin, eller også fjernede Google rettelsen fra Pixel 6 i sidste øjeblik.
Patchen ramte Android-kildekodelageret for 40 dage siden. Nu hvor fejlen er offentlig og tilgængelig for alle, ser det ud til, at Google skal handle hurtigere for at løse problemet.
Skriv et svar