谷歌和三星开始修补手机上的脏管道漏洞

时间:2022-04-11 14:51:35来源:
导读 谷歌本周早些时候发布了4 月份的 Android 安全更新,但该补丁并未包括对上个月广泛宣传的脏管道安全漏洞的修复。尽管我们可能不得不等到

谷歌本周早些时候发布了4 月份的 Android 安全更新,但该补丁并未包括对上个月广泛宣传的“脏管道”安全漏洞的修复。尽管我们可能不得不等到大多数设备的 5 月更新才能修复,但一些制造商已经开始修补他们自己的设备,包括谷歌本身。

Dirty Pipe (CVE-2022-0847) 是在 Linux 内核中发现的一个漏洞,它允许某人在只读进程中注入和覆盖数据,而无需任何 root 或管理员权限。该漏洞已被用于在 Android 上实现临时 root 访问,但它也可能允许恶意软件和其他未知软件获得系统访问权限。

Dirty Pipe 现在已在 Linux 内核(版本 5.16.11、5.15.25 和 5.10.102)以及 Android 版本的 Linux 内核中得到修复,但补丁未包含在 4 月的安全更新中。它大概会在 5 月的更新中到来,但并不是每个人都想等那么久。Pixel 6 和 Pixel 6 Pro 的一些自定义内核包含该补丁,包括Kirisakura 内核。谷歌周四发布的 Pixel 6 和 Pixel 6 Pro 的 Android QPR3 Beta 2有一个补丁内核版本。

作为 2022 年 4 月 Galaxy 设备更新的一部分,三星似乎是唯一一家在稳定软件上推出手机修复程序的制造商——该公司的安全公告中提到了 CVE-2022-0847,并且该更新已被验证可以阻止 Dirty Pipe 攻击.小米 12/12 Pro似乎仍然容易受到攻击,因为到目前为止,这些手机尚未在任何地区收到 2022 年 4 月的安全更新。一加既没有发布 10 Pro 的内核源代码,也没有推出 4 月份的更新。

我们将不得不拭目以待,看看哪些制造商在等待 5 月的更新,哪些公司会提前推送更新(就像三星所做的那样)。无论哪种方式,您都应该暂时避免安装粗略的 APK。

标签: