Correction De Dirty Pipe : Samsung Déploie Le Code Google Plus Rapidement Que Google

Le Pixel 6 Pro.
agrandir / Le Pixel 6 Pro.

Rhum Amadeo

Dirty Pipe est l’une des vulnérabilités les plus graves pour frapper Linux après de nombreuses années. Cela permettrait à un service public non privilégié de rechercher des données supposées être seules en lecture, une action qui pourrait conduire à une élévation des privilèges. Ce bogue a été corrigé le 19 février, et pour les versions Linux avec Unbuntu, une correction a été écrite. déployé aux utilisateurs finaux dans environ 17 jours. Android est basé sur Linux, là où Google et les fabricants d’Android le corrigent encore.

Cela fait un mois complet depuis le déploiement du bureau Linux, alors comment porte Android ?

d’après la chronologie Fait par Max Kellermann, le chercheur qui a découvert la vulnérabilité, Google a corrigé Dirty Pipe dans la base de code Android le 23 février. Mais l’écosystème Android est notoirement mauvais pour fournir du code mis à jour aux utilisateurs. Dans un certain sens, l’objectif Android a contribué à cette vulnérabilité. J’ai récemment découvert Linux 5.8, qui a été publié en août 2020. Pourquoi le bogue et pourquoi est-il corrigé par le système Android à l’époque des deux dernières années ?

Support Linux d’Android n’est passé que de 5.4 à 5.10 avec la sortie Android 12 il y a six mois, et les téléphones Android en général ne sautez pas versions majeures du noyau. Séoul les nouveaux téléphones reconnaissent le dernier noyau, et ils ont ensuite tendance à se concentrer sur les mises à jour mineures de support à long terme jusqu’à ce qu’ils soient retirés.

La lenteur des développements du nouvel Android fait que les nouveaux combinés en 2022 sont impactés par la version actuelle, c’est le cas des nouveaux appareils sur la mise à jour 5.10, comme le Google Pixel 6, le Samsung Galaxy S22 et le OnePlus 10 Pro.vulnérabilité laisser J’ai transformé cela en un exploit root fonctionnel pour les Pixel 6 et S22.

Alors, où est le patch ? Il a frappé la base de code Android le 23 février et n’a ensuite pas été livré dans le Sécurité mise à jour de mars. Cela aurait été un délai d’exécution rapide, mais le Sécurité d’avril mise à jour est sorti maintenant, et Dirty Pipe, CVE-2022-0847, n’est toujours pas disponible sur le bulletin de sécurité de Google.

L’entreprise n’a pas répondu à notre (ou autres publications(‘) Des questions sur qui est arrivé au correctif, mais il est raisonnable de s’occuper du Pixel 6 ait la maintenance du correctif. La situation actuelle d’un téléphone Google est que Google peut implémenter un système d’exploitation Google, de sorte que l’entreprise a pu surmonter rapidement la mise à jour. L’un était ce correctif pour obtenir la base de code fin février, des noms utilisés ROM tierces comme GraphèneOS ont pu insérer le correctif au début du mois de mars.

Il semble que Samsung ait également battu Google pour réparer le correctif. Samsung signale un correctif pour CVE-2022-0847 dans son propre bulletin de sécurité, indiquant que la correction est en cours sur le Galaxy S22. Samsung a repéré des vulnérabilités dans les bogues Android et les bogues Samsung, et a déclaré que CVE-2022-0847 est contenu dans le bulletin de sécurité Android d’avril de Google, mais qu’il n’y est pas. Soit Samsung a choisi le correctif et celui que j’indiquais dans le bulletin, soit Google a supprimé la correction du moment actuel du Pixel 6.

Le Pixel 6 étant le dernier léphone à obtenir une mise à jour serait certainement sur la que que pour Google, comme la société l’a fait continuellement en difficulté pour obtenir des mises à jour pour son nouveau produit phare à temps. Les correctifs de décembre et janvier du téléphone sont arrivés après des semaines de retard, même si les mises aujourd’hui s’inscrivent comme l’un des arguments du majeur de la gamme Pixel. Les mises à l’heure des pixels supposés arrivent vite quand Google maîtrise le matériel et le logiciel, et avec le Pixel 6, l’entreprise a également commencé à concevoir son propre SoC avec l’aide de Samsung. Google à de nombreuses entreprises externes avec lesquelles ils coordonnent plus que jamais, mais ils n’ont pas besoin de prendre de nombreuses mesures pour mettre les mises sur Android aussi rapidement qu’ils le devraient.

Le correctif pour frapper le référentiel de code source d’Android il y a déjà 40 jours. Maintenant que le bogue est public et gratuit pour suffisamment, il semble que Google devrait aller plus vite pour fournir le correctif.

Leave a Comment