Dirty Pipe est l’une des vulnérabilités les plus graves à frapper le noyau Linux depuis plusieurs années. Le bogue permet à un utilisateur non privilégié d’écraser des données censées être en lecture seule, une action qui peut conduire à une escalade des privilèges. Le bug a été corrigé le 19 février, et pour les versions Linux comme Unbuntu, un correctif a été écrit et déployé aux utilisateurs finaux dans environ 17 jours. Android est basé sur Linux, donc Google et les fabricants Android doivent également corriger le bogue.

Cela fait un mois complet depuis le déploiement du bureau Linux, alors comment se porte Android?

D’après la chronologie Donné par Max Kellermann, le chercheur qui a découvert la vulnérabilité, Google a corrigé Dirty Pipe dans la base de code Android le 23 février. Mais l’écosystème Android est notoirement mauvais pour fournir du code mis à jour aux utilisateurs. Dans un certain sens, la lenteur d’Android a contribué à cette vulnérabilité. Le bogue a été introduit dans Linux 5.8, qui a été publié en août 2020. Alors, pourquoi le bug ne s’est-il pas répandu dans l’écosystème Android au cours des deux dernières années?

Le support Linux d’Android n’est passé que de 5.4 à 5.10 avec la sortie d’Android 12 il y a six mois, et les téléphones Android généralement ne sautez pas versions majeures du noyau. Seuls les nouveaux téléphones reçoivent le dernier noyau, et ils ont ensuite tendance à se concentrer sur des mises à jour mineures de support à long terme jusqu’à ce qu’ils soient retirés.

La lenteur des déploiements du noyau Android signifie que seuls les nouveaux combinés 2022 sont affectés par le bogue, c’est-à-dire les appareils sur le noyau 5.10, comme le Google Pixel 6, le Samsung Galaxy S22 et le OnePlus 10 Pro. La vulnérabilité déjà a été transformé en un exploit root fonctionnel pour les Pixel 6 et S22.

Dirty Pipe -> kernel r/w+selinux disabled+root shell on Pixel 6 Pro and Sasmsung S22 dernière mise à jour 🙂 pic.twitter.com/WwhwjLyU5q

— Fire30 (@Fire30_) 14 mars 2022

Alors, où est le patch? Il a frappé la base de code Android le 23 février et n’a ensuite pas été livré dans le Mise à jour de sécurité de mars. Cela aurait été un délai d’exécution rapide, mais le Mise à jour de sécurité d’avril est maintenant sorti, et Dirty Pipe, CVE-2022-0847, n’est toujours pas disponible sur le bulletin de sécurité de Google.

L’entreprise n’a pas répondu à notre (ou autres publications(‘) questions sur ce qui est arrivé au correctif, mais il est raisonnable de s’attendre à ce que le Pixel 6 ait le correctif maintenant. Il s’agit d’un téléphone Google avec une puce Google exécutant un système d’exploitation Google, de sorte que l’entreprise devrait être en mesure de sortir la mise à jour rapidement. Une fois que le correctif a atteint la base de code à la fin du mois de février, de nombreuses ROM tierces comme GraphèneOS ont pu intégrer le correctif au début du mois de mars.

Il semble que Samsung ait également battu Google pour publier le correctif. Samsung répertorie un correctif pour CVE-2022-0847 dans son propre bulletin de sécurité, indiquant que le correctif est en cours de déploiement sur le Galaxy S22. Samsung divise les vulnérabilités en bogues Android et bugs Samsung, et il dit que CVE-2022-0847 est contenu dans le bulletin de sécurité Android d’avril de Google, même si ce n’est pas vrai. Soit Samsung a choisi le correctif et ne l’a pas indiqué dans son bulletin, soit Google a retiré la correction de bogue au dernier moment du Pixel 6.

Le Pixel 6 étant le dernier téléphone à obtenir une mise à jour serait certainement sur la marque pour Google, comme la société l’a fait continuellement en difficulté pour obtenir des mises à jour pour son nouveau produit phare à temps. Les correctifs de décembre et janvier du téléphone sont arrivés avec des semaines de retard, même si les mises à jour rapides sont censées être un argument de vente majeur de la gamme Pixel. Les mises à jour des pixels devraient venir rapidement car Google contrôle le matériel et les logiciels, et avec le Pixel 6, la société a également commencé à concevoir son propre SoC avec l’aide de Samsung. Google a moins d’entreprises externes avec lesquelles se coordonner que jamais, mais il ne peut toujours pas pousser les mises à jour Android aussi rapidement qu’il le devrait.

Le correctif a frappé le référentiel de code source d’Android il y a 40 jours. Maintenant que le bogue est public et gratuit pour quiconque, il semble que Google devrait aller plus vite pour fournir le correctif.