Google a Samsung začínají opravovat zranitelnost 'Dirty Pipe'

Google vydal Aktualizace zabezpečení Androidu na duben začátkem tohoto týdne, ale oprava neobsahovala opravu bezpečnostní zranitelnost 'Dirty Pipe' která byla minulý měsíc široce propagována. I když si na opravu většiny zařízení budeme muset pravděpodobně počkat do květnové aktualizace, někteří výrobci začali opravovat svá vlastní zařízení, včetně samotného Googlu.

Dirty Pipe (CVE-2022-0847) je exploit objevený v linuxovém jádře, který umožňuje někomu vkládat a přepisovat data v procesech pouze pro čtení bez jakýchkoli oprávnění root nebo administrátora. Tato chyba zabezpečení již byla použita k dosažení dočasného přístupu root v systému Android, ale mohla by také umožnit malwaru a dalšímu neznámému softwaru získat přístup k systému.

Dirty Pipe byl nyní opraven v linuxovém jádře (s verzemi 5.16.11, 5.15.25 a 5.10.102), stejně jako verze linuxového jádra pro Android

, ale oprava nebyla součástí dubnové aktualizace zabezpečení. Pravděpodobně dorazí v květnové aktualizaci, ale ne každý chce čekat tak dlouho. Některá vlastní jádra pro Pixel 6 a Pixel 6 Pro zahrnují opravu, včetně Kirisakura jádro. Google Android QPR3 Beta 2 pro Pixel 6 a Pixel 6 Pro, který byl propuštěn ve čtvrtek, má opravená verze jádra.

Zdá se, že Samsung je jediným výrobcem, který v rámci dubna zavádí opravu pro telefony na stabilním softwaru Aktualizace 2022 na zařízeních Galaxy – bezpečnostní bulletin společnosti zmiňuje CVE-2022-0847 a aktualizace byla ověřeno blokovat útoky Dirty Pipe. Stále Xiaomi 12/12 Pro se zdají být zranitelné, protože tyto telefony dosud v žádné oblasti neobdržely aktualizaci zabezpečení z dubna 2022. OnePlus nezveřejnilo zdrojový kód jádra pro 10 Pro, ani nevydalo dubnovou aktualizaci.

Budeme si muset počkat a uvidíme, kteří výrobci čekají na květnovou aktualizaci a které společnosti tlačí aktualizaci brzy (jako to dělá Samsung). Ať tak či onak, pravděpodobně byste se prozatím měli vyhnout instalaci útržkovitých souborů APK.