Dirty Pipe Fix : Samsung implémente le code Google plus rapidement que Google

Dirty Pipe est l’une des vulnérabilités les plus graves du noyau Linux de ces dernières années. Le bogue permet à un utilisateur non privilégié d’écraser des données en lecture seule, ce qui peut entraîner une élévation des privilèges. Le bogue a été corrigé le 19 février et pour les versions de Linux telles qu’Unbuntu, un correctif a été écrit et publié pour les utilisateurs finaux en 17 jours environ. Android est basé sur Linux, donc Google et les fabricants d’Android doivent également corriger le bogue.

Cela fait un mois entier depuis la sortie du bureau Linux, alors comment va Android ?

Selon une chronologie fournie par Max Kellermann, le chercheur qui a découvert la vulnérabilité, Google a corrigé Dirty Pipe dans la base de code Android le 23 février. Mais l’écosystème Android est notoirement mauvais pour fournir du code mis à jour aux utilisateurs. D’une certaine manière, la lenteur d’Android a contribué à cette vulnérabilité. Le bogue est apparu dans Linux 5.8, sorti en août 2020. Alors pourquoi le bogue ne s’est-il pas propagé à travers l’écosystème Android au cours des deux dernières années ?

La prise en charge de Linux dans Android n’est passée de 5.4 à 5.10 qu’avec la sortie d’Android 12 il y a six mois, et les téléphones Android ne sautent généralement pas des principales versions du noyau. Seuls les nouveaux téléphones obtiennent le dernier noyau, puis ils ont tendance à utiliser des mises à jour de support mineures à long terme jusqu’à leur retrait.

Le déploiement lent du noyau Android signifie que le bogue n’affecte que les nouveaux téléphones 2022, c’est-à-dire les appareils à noyau 5.10 tels que Google Pixel 6, Samsung Galaxy S22 et OnePlus 10 Pro. La vulnérabilité a déjà été transformée en un exploit fonctionnel avec des privilèges root pour les Pixel 6 et S22.

La société n’a pas répondu à nos (ou à d’autres) questions sur ce qui s’est passé avec le correctif, mais il est raisonnable de s’attendre à ce que le Pixel 6 ait le correctif maintenant. Il s’agit d’un téléphone Google avec une puce Google exécutant Google OS, l’entreprise devrait donc être en mesure de déployer une mise à jour rapidement. Après que le correctif ait atteint la base de code fin février, de nombreuses ROM tierces telles que GrapheneOS ont pu intégrer le correctif début mars.

Il semble que Samsung ait vraiment devancé Google en publiant un correctif. Samsung répertorie un correctif pour CVE-2022-0847 dans son propre bulletin de sécurité , indiquant que le correctif s’applique au Galaxy S22. Samsung sépare les vulnérabilités en bogues Android et bogues Samsung et signale que CVE-2022-0847 est contenu dans le bulletin de sécurité Android d’avril de Google, bien que ce ne soit pas vrai. Soit Samsung a opté pour un correctif et ne l’a pas répertorié dans son bulletin, soit Google a supprimé le correctif du Pixel 6 à la dernière minute.

Le correctif a atteint le référentiel de code source Android il y a 40 jours. Maintenant que le bogue est public et accessible à tous, il semble que Google doive agir plus rapidement pour fournir un correctif.