Le correctif de sécurité d'avril pour Android n'a pas corrigé la vulnérabilité de sécurité « Dirty Pipe », mais certains constructeurs OEM déploient leurs propres correctifs.
Google a publié le Mise à jour de sécurité Android d'avril plus tôt cette semaine, mais le correctif n'incluait pas de correctif pour la vulnérabilité de sécurité « Dirty Pipe » qui a été largement médiatisée le mois dernier. Même si nous devrons probablement attendre la mise à jour de mai pour que la plupart des appareils soient corrigés, certains fabricants ont commencé à mettre à jour leurs propres appareils, y compris Google lui-même.
Dirty Pipe (CVE-2022-0847) est un exploit découvert dans le noyau Linux qui permet à quelqu'un d'injecter et d'écraser des données dans des processus en lecture seule, sans aucune autorisation root ou administrateur. La vulnérabilité a déjà été utilisée pour obtenir un accès root temporaire sur Android, mais elle pourrait également permettre à des logiciels malveillants et à d'autres logiciels inconnus d'accéder au système.
Dirty Pipe a désormais été corrigé dans le noyau Linux (avec les versions 5.16.11, 5.15.25 et 5.10.102), ainsi que la version Android du noyau Linux, mais le correctif n'était pas inclus dans la mise à jour de sécurité d'avril. Il arrivera probablement dans la mise à jour de mai, mais tout le monde ne veut pas attendre aussi longtemps. Certains noyaux personnalisés pour Pixel 6 et Pixel 6 Pro incluent le correctif, notamment le Noyau Kirisakura. Android QPR3 Beta 2 de Google pour les Pixel 6 et Pixel 6 Pro, qui a été sorti jeudi, a un version du noyau corrigée.
Samsung semble être le seul fabricant à déployer un correctif pour les téléphones sur un logiciel stable, dans le cadre du mois d'avril. Mise à jour 2022 sur les appareils Galaxy — le bulletin de sécurité de l'entreprise mentionne CVE-2022-0847, et la mise à jour a été vérifié pour bloquer les attaques de Dirty Pipe. Le Xiaomi 12/12 Pro toujours semble être vulnérable, car ces téléphones n’ont jusqu’à présent reçu la mise à jour de sécurité d’avril 2022 dans aucune région. OnePlus n'a pas encore publié le code source du noyau du 10 Pro, ni déployé la mise à jour d'avril.
Nous devrons attendre de voir quels fabricants attendent la mise à jour de mai et quelles entreprises proposent une mise à jour plus tôt (comme le fait Samsung). Quoi qu’il en soit, vous devriez probablement éviter d’installer des APK sommaires pour le moment.