Pixel 6 finalmente obtiene el parche Dirty Pipe, un mes después del Galaxy S22

Ya salió la actualización de seguridad de Android de mayo , lo que significa que el Pixel 6 finalmente recibirá un parche para la vulnerabilidad de Dirty Pipe. La actualización llega un mes después de que Samsung enviara el parche Galaxy S22 a Google, pero al menos finalmente está aquí.

Dirty Pipe, también conocido como CVE-2022-0847, es una de las mayores vulnerabilidades de Linux de los últimos años. La vulnerabilidad permite que un usuario sin privilegios sobrescriba datos de solo lectura, lo que podría conducir a una escalada de privilegios adicional. En realidad, Android tiene una demostración funcional de esto. El usuario de Twitter @Fire30_ hizo una demostración del uso del error para rootear el Pixel 6. Los dispositivos Linux que ejecutan 5.8 y versiones posteriores son vulnerables, y luego de que se descubriera la vulnerabilidad el 19 de febrero, los parches para las distribuciones de Linux para PC comenzaron a implementarse 17 días después .

Sin embargo, las cosas son diferentes con Android. Primero, no muchos dispositivos usan el kernel Linux 5.8 todavía. Aunque esta versión se lanzó en agosto de 2020, Android solo saltó de 5.4 a 5.10 con el lanzamiento de Android 12 en noviembre. Dado que los dispositivos existentes generalmente no cambian entre las principales versiones del kernel cuando reciben una actualización de Android, esto significa que solo los dispositivos nuevos con Android 12 tienen el kernel 5.10. Esta es una cantidad muy pequeña de nuevos dispositivos lanzados en los últimos ocho meses, a saber, Pixel 6, Galaxy S22 y OnePlus 10 Pro.

Según el investigador que descubrió la vulnerabilidad, Google parchó Dirty Pipe en el código base de Android el 23 de febrero. Samsung tomó ese código de Google y lo implementó en el Galaxy S22 el mes pasado, pero Google terminó esperando un mes más para que finalmente llegara a los usuarios de Pixel 6 esta semana. OnePlus todavía se está quedando atrás.

Google solo clasifica a Dirty Pipe como de gravedad «alta», lo que explica por qué la empresa no lanzó una actualización rápidamente. Dirty Pipe no alcanza el nivel de vulnerabilidad «crítico» en Android porque no se puede usar de forma remota. Necesita acceso local para usar el exploit y, siempre que no haya otras vulnerabilidades conocidas, debe estar seguro siempre que no instale nada malicioso.

En otras noticias de actualización de Android, el final de la línea de gama media Pixel 3a está a la vuelta de la esquina. Después de tres años de importantes actualizaciones del sistema operativo, mayo de 2022 marca el último lanzamiento oficial del sistema operativo Pixel 3a. Google le dijo a 9to5Google que el dispositivo recibirá la actualización final en julio de 2022.