Der April-Sicherheitspatch für Android hat die Sicherheitslücke „Dirty Pipe“ nicht behoben, aber einige OEMs führen ihre eigenen Korrekturen ein.
Google hat die veröffentlicht Android-Sicherheitsupdate für April Anfang dieser Woche, aber der Patch enthielt keinen Fix für die Sicherheitslücke „Dirty Pipe“. Das wurde letzten Monat weithin bekannt gemacht. Auch wenn wir wahrscheinlich bis zum Mai-Update warten müssen, bis die meisten Geräte repariert sind, haben einige Hersteller damit begonnen, ihre eigenen Geräte zu patchen, darunter auch Google selbst.
Dirty Pipe (CVE-2022-0847) ist ein im Linux-Kernel entdeckter Exploit, der es jemandem ermöglicht, Daten in schreibgeschützten Prozessen ohne Root- oder Administratorrechte einzuschleusen und zu überschreiben. Die Schwachstelle wurde bereits ausgenutzt, um temporären Root-Zugriff auf Android zu erreichen, könnte aber auch Malware und anderer unbekannter Software ermöglichen, Systemzugriff zu erlangen.
Dirty Pipe wurde jetzt im Linux-Kernel behoben (mit den Versionen 5.16.11, 5.15.25 und 5.10.102).
Samsung scheint der einzige Hersteller zu sein, der im April einen Fix für Telefone mit stabiler Software einführt Update 2022 auf Galaxy-Geräten – im Sicherheitsbulletin des Unternehmens wird CVE-2022-0847 erwähnt, und das Update wurde veröffentlicht verifiziert um Dirty-Pipe-Angriffe abzuwehren. Das Xiaomi 12/12 Pro immer noch scheinen verletzlich zu sein, da diese Telefone bisher in keiner Region das Sicherheitsupdate vom April 2022 erhalten haben. OnePlus hat bisher weder den Kernel-Quellcode für das 10 Pro veröffentlicht noch das April-Update ausgerollt.
Wir müssen abwarten, welche Hersteller auf das Mai-Update warten und welche Unternehmen ein Update früher veröffentlichen (wie es Samsung tut). In jedem Fall sollten Sie wahrscheinlich vorerst die Installation fragwürdiger APKs vermeiden.