Апрельский патч безопасности для Android не устранил уязвимость безопасности «Dirty Pipe», но некоторые OEM-производители выпускают свои собственные исправления.
Google выпустил Обновление безопасности Android за апрель ранее на этой неделе, но патч не включал исправление уязвимость безопасности «Грязная труба» это было широко освещено в прошлом месяце. Несмотря на то, что нам, вероятно, придется подождать до майского обновления, чтобы исправить большинство устройств, некоторые производители начали исправлять свои собственные устройства, включая сам Google.
Dirty Pipe (CVE-2022-0847) — это эксплойт, обнаруженный в ядре Linux, который позволяет кому-либо вставлять и перезаписывать данные в процессах, доступных только для чтения, без каких-либо прав root или администратора. Уязвимость уже использовалась для получения временного root-доступа на Android, но она также может позволить вредоносному и другому неизвестному программному обеспечению получить доступ к системе.
Dirty Pipe теперь исправлен в ядре Linux (версии 5.16.11, 5.15.25 и 5.10.102).
Samsung, кажется, единственный производитель, выпускающий исправления для телефонов со стабильным программным обеспечением в рамках апрельского обновления. Обновление 2022 года для устройств Galaxy — в бюллетене по безопасности компании упоминается CVE-2022-0847, и обновление было проверено чтобы блокировать атаки Dirty Pipe. Xiaomi 12/12 Pro все еще кажется уязвимым, поскольку эти телефоны пока не получили обновление безопасности за апрель 2022 года ни в одном регионе. OnePlus пока не выпустила исходный код ядра для 10 Pro и не выпустила апрельское обновление.
Нам придется подождать и посмотреть, какие производители ждут майского обновления, а какие компании выпускают обновление раньше (как это делает Samsung). В любом случае, вам, вероятно, следует пока избегать установки отрывочных APK.