El parche de seguridad de abril para Android no solucionó la vulnerabilidad de seguridad 'Dirty Pipe', pero algunos fabricantes de equipos originales están implementando sus propias soluciones.
Google lanzó el Actualización de seguridad de Android para abril a principios de esta semana, pero el parche no incluía una solución para la vulnerabilidad de seguridad 'Dirty Pipe' que fue ampliamente publicitado el mes pasado. Aunque probablemente tendremos que esperar hasta la actualización de mayo para reparar la mayoría de los dispositivos, algunos fabricantes han comenzado a parchear sus propios dispositivos, incluido el propio Google.
Dirty Pipe (CVE-2022-0847) es un exploit descubierto en el kernel de Linux que permite a alguien inyectar y sobrescribir datos en procesos de solo lectura, sin permisos de root o administrador. La vulnerabilidad ya se ha utilizado para lograr acceso root temporal en Android, pero también podría permitir que malware y otro software desconocido obtengan acceso al sistema.
Dirty Pipe ahora se ha solucionado en el kernel de Linux (con las versiones 5.16.11, 5.15.25 y 5.10.102), así como la versión de Android del kernel de Linux, pero el parche no se incluyó en la actualización de seguridad de abril. Es de suponer que llegará en la actualización de mayo, pero no todo el mundo quiere esperar tanto. Algunos kernels personalizados para Pixel 6 y Pixel 6 Pro incluyen el parche, incluido el Núcleo de Kirisakura. Android QPR3 Beta 2 de Google para Pixel 6 y Pixel 6 Pro, que fue lanzado el jueves, tiene un versión del kernel parcheada.
Samsung parece ser el único fabricante que implementa una solución para teléfonos con software estable, como parte del informe de abril. Actualización de 2022 en dispositivos Galaxy: el boletín de seguridad de la compañía menciona CVE-2022-0847 y la actualización ha sido verificado para bloquear los ataques de Dirty Pipe. El Xiaomi 12/12 Pro todavía parece ser vulnerable, ya que esos teléfonos no han recibido la actualización de seguridad de abril de 2022 en ninguna región hasta ahora. OnePlus aún no ha publicado el código fuente del kernel para el 10 Pro ni ha lanzado la actualización de abril.
Tendremos que esperar y ver qué fabricantes esperan la actualización de mayo y qué empresas lanzan una actualización temprano (como lo está haciendo Samsung). De cualquier manera, probablemente deberías evitar instalar APK incompletos por el momento.