April-sikkerhedspatchen til Android løste ikke sikkerhedssårbarheden 'Dirty Pipe', men nogle OEM'er udruller deres egne rettelser.
Google udgav Android sikkerhedsopdatering til april tidligere på ugen, men patchen indeholdt ikke en rettelse til sikkerhedssårbarheden 'Dirty Pipe' som blev bredt omtalt i sidste måned. Selvom vi sandsynligvis bliver nødt til at vente til maj-opdateringen, før de fleste enheder er rettet, er nogle producenter begyndt at patche deres egne enheder, inklusive Google selv.
Dirty Pipe (CVE-2022-0847) er en udnyttelse, der er opdaget i Linux-kernen, og som gør det muligt for nogen at injicere og overskrive data i skrivebeskyttede processer uden nogen root- eller admin-tilladelser. Sårbarheden er allerede blevet brugt til at opnå midlertidig root-adgang på Android, men den kan også tillade malware og anden ukendt software at få systemadgang.
Dirty Pipe er nu blevet rettet i Linux-kernen (med version 5.16.11, 5.15.25 og 5.10.102), samt Androids version af Linux-kernen
Samsung ser ud til at være den eneste producent, der udruller en rettelse til telefoner på stabil software som en del af april 2022-opdatering på Galaxy-enheder — virksomhedens sikkerhedsbulletin nævner CVE-2022-0847, og opdateringen er blevet verificeret at blokere Dirty Pipe-angreb. Xiaomi 12/12 Pro stadig synes at være sårbar, da disse telefoner ikke har modtaget april 2022-sikkerhedsopdateringen i nogen region indtil videre. OnePlus har hverken frigivet kernekildekoden til 10 Pro eller udrullet aprilopdateringen endnu.
Vi må vente og se, hvilke producenter der venter på maj-opdateringen, og hvilke virksomheder der presser en opdatering tidligt (som Samsung gør). Uanset hvad, bør du nok undgå at installere skitserede APK'er indtil videre.