Android 用の 4 月のセキュリティ パッチでは、「Dirty Pipe」のセキュリティ脆弱性は修正されませんでしたが、一部の OEM は独自の修正を公開しています。
Googleがリリースしたのは、 4月のAndroidセキュリティアップデート 今週初めにリリースされましたが、パッチには次の修正が含まれていませんでした。 「ダーティ・パイプ」のセキュリティ脆弱性 それは先月大々的に報道されました。 ほとんどのデバイスが修正されるには 5 月のアップデートまで待たなければならない可能性がありますが、Google 自体を含む一部のメーカーは自社のデバイスにパッチを適用し始めています。
Dirty Pipe (CVE-2022-0847) は、Linux カーネルで発見されたエクスプロイトで、root または管理者の権限なしで読み取り専用プロセスにデータを挿入および上書きできるようにします。 この脆弱性はすでに Android で一時的な root アクセスを実現するために使用されていますが、マルウェアやその他の未知のソフトウェアがシステム アクセスを取得できる可能性もあります。
Dirty Pipe は Linux カーネル (バージョン 5.16.11、5.15.25、および 5.10.102) で修正されました。 Android バージョンの Linux カーネルと同様に, しかし、このパッチは4月のセキュリティアップデートには含まれていませんでした。 おそらく 5 月のアップデートで登場すると思われますが、誰もがそれほど長く待ちたいわけではありません。 Pixel 6 および Pixel 6 Pro の一部のカスタム カーネルには、次のパッチが含まれています。 霧桜カーネル. Google の Pixel 6 および Pixel 6 Pro 用の Android QPR3 Beta 2 木曜日に発売された、 があります パッチ適用されたカーネルのバージョン.
Samsung は、4 月のアップデートの一環として、安定したソフトウェアを搭載した携帯電話の修正プログラムを公開している唯一のメーカーのようです。 Galaxy デバイスの 2022 アップデート — 同社のセキュリティ情報には CVE-2022-0847 が記載されており、アップデートは 検証済み ダーティパイプ攻撃をブロックします。 Xiaomi 12/12 Proはまだ
脆弱なようです, これらの携帯電話は、これまでのところどの地域でも 2022 年 4 月のセキュリティ更新プログラムを受信していないためです。 OnePlus は、10 Pro のカーネル ソース コードをリリースしておらず、4 月のアップデートもまだ公開していません。どのメーカーが 5 月のアップデートを待ち、どの企業が (Samsung がやっているように) アップデートを早めにプッシュするかは様子見する必要があります。 いずれにせよ、当面は大ざっぱな APK のインストールは避けるべきでしょう。