April-sikkerhetsoppdateringen for Android løste ikke sikkerhetssårbarheten "Dirty Pipe", men noen OEM-er ruller ut sine egne rettelser.
Google ga ut Android sikkerhetsoppdatering for april tidligere denne uken, men oppdateringen inkluderte ikke en løsning for sikkerhetssårbarheten 'Dirty Pipe' som ble mye publisert forrige måned. Selv om vi sannsynligvis må vente til mai-oppdateringen for at de fleste enheter skal bli fikset, har noen produsenter begynt å lappe sine egne enheter, inkludert Google selv.
Dirty Pipe (CVE-2022-0847) er en utnyttelse oppdaget i Linux-kjernen som lar noen injisere og overskrive data i skrivebeskyttede prosesser, uten noen root- eller admin-tillatelser. Sårbarheten har allerede blitt brukt for å oppnå midlertidig rottilgang på Android, men det kan også tillate skadelig programvare og annen ukjent programvare å få systemtilgang.
Dirty Pipe er nå fikset i Linux-kjernen (med versjoner 5.16.11, 5.15.25 og 5.10.102), samt Androids versjon av Linux-kjernen, men oppdateringen var ikke inkludert i sikkerhetsoppdateringen fra april. Den kommer antagelig i mai-oppdateringen, men ikke alle vil vente så lenge. Noen tilpassede kjerner for Pixel 6 og Pixel 6 Pro inkluderer oppdateringen, inkludert
Samsung ser ut til å være den eneste produsenten som lanserer en løsning til telefoner på stabil programvare, som en del av april 2022-oppdatering på Galaxy-enheter — selskapets sikkerhetsbulletin nevner CVE-2022-0847, og oppdateringen har blitt verifisert for å blokkere Dirty Pipe-angrep. Xiaomi 12/12 Pro fortsatt ser ut til å være sårbare, siden disse telefonene ikke har mottatt sikkerhetsoppdateringen fra april 2022 i noen region så langt. OnePlus har verken gitt ut kjernekildekoden for 10 Pro, eller lansert apriloppdateringen ennå.
Vi må vente og se hvilke produsenter som venter på mai-oppdateringen, og hvilke selskaper som presser en oppdatering tidlig (slik Samsung gjør). Uansett bør du sannsynligvis unngå å installere skissemessige APK-er foreløpig.