O patch de segurança de abril para Android não corrigiu a vulnerabilidade de segurança ‘Dirty Pipe’, mas alguns OEMs estão lançando suas próprias correções.
O Google lançou o Atualização de segurança do Android para abril no início desta semana, mas o patch não incluiu uma correção para a vulnerabilidade de segurança 'Dirty Pipe' que foi amplamente divulgado no mês passado. Embora provavelmente tenhamos que esperar até a atualização de maio para que a maioria dos dispositivos seja corrigida, alguns fabricantes começaram a corrigir seus próprios dispositivos, incluindo o próprio Google.
Dirty Pipe (CVE-2022-0847) é uma exploração descoberta no kernel Linux que permite que alguém injete e substitua dados em processos somente leitura, sem qualquer permissão de root ou administrador. A vulnerabilidade já foi usada para obter acesso root temporário no Android, mas também pode permitir que malware e outros softwares desconhecidos obtenham acesso ao sistema.
Dirty Pipe agora foi corrigido no kernel Linux (com versões 5.16.11, 5.15.25 e 5.10.102),
A Samsung parece ser o único fabricante a lançar uma correção para telefones com software estável, como parte do programa de abril Atualização de 2022 em dispositivos Galaxy – o boletim de segurança da empresa menciona CVE-2022-0847, e a atualização foi verificado para bloquear ataques de Dirty Pipe. O Xiaomi 12/12 Pro ainda parece ser vulnerável, já que esses telefones não receberam a atualização de segurança de abril de 2022 em nenhuma região até agora. OnePlus não lançou o código-fonte do kernel para o 10 Pro, nem lançou a atualização de abril ainda.
Teremos que esperar para ver quais fabricantes aguardam a atualização de maio e quais empresas lançam uma atualização mais cedo (como a Samsung está fazendo). De qualquer forma, você provavelmente deve evitar instalar APKs incompletos por enquanto.