Androidin huhtikuun tietoturvakorjaus ei korjannut "Dirty Pipe" -tietoturvahaavoittuvuutta, mutta jotkin OEM-valmistajat ottavat käyttöön omia korjauksiaan.
Google julkaisi Android-tietoturvapäivitys huhtikuulle aiemmin tällä viikolla, mutta korjaustiedosto ei sisältänyt korjausta "Dirty Pipe" -tietoturvahaavoittuvuus joka julkistettiin laajasti viime kuussa. Vaikka joudumme todennäköisesti odottamaan toukokuun päivitystä, jotta useimmat laitteet saadaan korjattua, jotkut valmistajat ovat alkaneet korjata omia laitteitaan, mukaan lukien Google itse.
Dirty Pipe (CVE-2022-0847) on Linux-ytimestä löydetty hyväksikäyttö, jonka avulla joku voi lisätä ja kirjoittaa tietoja vain luku -tilassa olevissa prosesseissa ilman pääkäyttäjän tai järjestelmänvalvojan oikeuksia. Haavoittuvuutta on jo käytetty väliaikaisen pääkäyttäjän oikeuksien saavuttamiseen Androidissa, mutta se voi myös mahdollistaa haittaohjelmien ja muiden tuntemattomien ohjelmistojen pääsyn järjestelmään.
Dirty Pipe on nyt korjattu Linux-ytimeen (versioissa 5.16.11, 5.15.25 ja 5.10.102),
Samsung näyttää olevan ainoa valmistaja, joka julkaisee korjauksen puhelimiin vakaalla ohjelmistolla osana huhtikuuta Vuoden 2022 päivitys Galaxy-laitteissa – yhtiön tietoturvatiedotteessa mainitaan CVE-2022-0847, ja päivitys on tehty vahvistettu estää Dirty Pipe -hyökkäykset. Xiaomi 12/12 Pro edelleen näyttävät olevan haavoittuvia, koska kyseiset puhelimet eivät ole toistaiseksi saaneet huhtikuun 2022 tietoturvapäivitystä millään alueella. OnePlus ei julkaissut ytimen lähdekoodia 10 Prolle eikä julkaissut vielä huhtikuun päivitystä.
Meidän on odotettava ja katsottava, mitkä valmistajat odottavat toukokuun päivitystä ja mitkä yritykset ajavat päivityksen aikaisin (kuten Samsung tekee). Joka tapauksessa sinun pitäisi luultavasti välttää luonnostelevien APK: iden asentamista toistaiseksi.