Naprawa brudnej rury: Samsung wdraża kod Google szybciej niż Google
Dirty Pipe to jedna z najpoważniejszych luk w jądrze Linuksa ostatnich lat. Błąd umożliwia nieuprzywilejowanemu użytkownikowi nadpisanie danych tylko do odczytu, co może skutkować eskalacją uprawnień. Błąd został naprawiony 19 lutego, a dla wersji Linuksa, takich jak Unbuntu, łatka została napisana i wydana użytkownikom końcowym w ciągu około 17 dni. Android jest oparty na Linuksie, więc Google i producenci Androida również muszą naprawić błąd.
Minął cały miesiąc od premiery Linuksa na komputery stacjonarne, więc jak radzi sobie Android?
Według harmonogramu dostarczonego przez Maxa Kellermanna, badacza, który odkrył lukę, Google załatał Dirty Pipe w bazie kodu Androida 23 lutego. Ale ekosystem Androida jest notorycznie zły w dostarczaniu użytkownikom zaktualizowanego kodu. W pewnym sensie powolność Androida pomogła z tą luką. Błąd pojawił się w Linuksie 5.8, wydanym w sierpniu 2020 r. Dlaczego więc błąd nie rozprzestrzenił się daleko w ekosystemie Androida w ciągu ostatnich dwóch lat?
Obsługa Linuksa w Androidzie skoczyła z wersji 5.4 do 5.10 dopiero wraz z wydaniem Androida 12 sześć miesięcy temu, a telefony z Androidem zwykle nie przeskakują z głównych wersji jądra. Tylko nowe telefony otrzymują najnowsze jądro, a następnie używają drobnych, długoterminowych aktualizacji wsparcia, dopóki nie zostaną wycofane.
Powolne wdrażanie jądra Androida oznacza, że błąd dotyczy tylko nowych telefonów z 2022 r., tj. urządzeń z jądrem 5.10, takich jak Google Pixel 6, Samsung Galaxy S22 i OnePlus 10 Pro. Luka została już przekształcona w działającego exploita z uprawnieniami roota dla Pixela 6 i S22.
Firma nie odpowiedziała na nasze (lub inne) pytania dotyczące tego, co stało się z łatką, ale rozsądne jest oczekiwanie, że Pixel 6 będzie miał już poprawkę. To jest telefon Google z chipem Google z systemem operacyjnym Google, więc firma powinna być w stanie szybko wdrożyć aktualizację. Po tym, jak poprawka trafiła do bazy kodu pod koniec lutego, wiele ROM-ów innych firm, takich jak GrapheneOS , było w stanie zintegrować poprawkę na początku marca.
Wygląda na to, że Samsung naprawdę wyprzedził Google, wydając łatkę. Samsung wymienia poprawkę dla CVE-2022-0847 we własnym biuletynie bezpieczeństwa , wskazując, że poprawka dotyczy Galaxy S22. Samsung rozdziela luki na błędy Androida i błędy Samsunga i informuje, że luka CVE-2022-0847 jest zawarta w kwietniowym biuletynie Google dotyczącym bezpieczeństwa Androida, chociaż nie jest to prawdą. Albo Samsung zdecydował się na poprawkę i nie wymienił jej w swoim biuletynie, albo Google usunął poprawkę z Pixela 6 w ostatniej chwili.
Łatka trafiła do repozytorium kodu źródłowego Androida 40 dni temu. Teraz, gdy błąd jest publiczny i dostępny dla wszystkich, wydaje się, że Google musi działać szybciej, aby zapewnić poprawkę.
Dodaj komentarz