Il semble que les utilisateurs de Pixel 6 doivent attendre encore un mois pour un correctif Dirty Pipe

Il semble que les utilisateurs de Pixel 6 doivent attendre encore un mois pour un correctif Dirty Pipe

5 avril 2022 0 Par Le Caiman
Le Pixel 6 Pro.

Dirty Pipe est l’une des vulnérabilités les plus graves à avoir frappé le noyau Linux depuis plusieurs années. Le bogue permet à un utilisateur non privilégié d’écraser des données censées être en lecture seule, une action qui peut entraîner une élévation des privilèges. Le bogue a été identifié le 19 février, et pour les versions Linux comme Unbuntu, un patch a été écrit et deployé aux utilisateurs finaux en 17 jours environ. Android est basé sur Linux, donc Google et les OEM Android doivent également corriger le bogue.

Cela fait un mois complet depuis le déploiement du bureau Linux, alors comment va Android ?

Selon la chronologie donné par Max Kellermann, le chercheur qui a découvert la vulnérabilité, Google a corrigé Dirty Pipe dans la base de code Android le 23 février. Mais l’écosystème Android est notoirement mauvais pour fournir du code mis à jour aux utilisateurs. Dans un certain sens, la lenteur d’Android a contribué à cette vulnérabilité. Le bogue a été introduit dans Linux 5.8, qui a été publié en août 2020. Alors pourquoi le bogue ne s’est-il pas propagé à travers l’écosystème Android au cours des deux dernières années ?

Le support Linux d’Android n’est passé de 5.4 à 5.10 qu’avec la sortie d’Android 12 il y a six mois, et les téléphones Android ne sautent généralement pas les principales versions du noyau. Seuls les téléphones flambant neufs reçoivent le dernier noyau, et ils ont ensuite tendance à suivre des mises à jour mineures de support à long terme jusqu’à leur retrait.

La lenteur des déploiements du noyau d’Android signifie que seuls les tout nouveaux combinés 2022 sont affectés par le bogue, c’est-à-dire les appareils sur le noyau 5.10, comme le Google Pixel 6, le Samsung Galaxy S22 et le OnePlus 10 Pro. La vulnérabilité a déjà été transformée en un exploit root fonctionnel pour les Pixel 6 et S22.

Alors où est le patch ? Il a atteint la base de code Android le 23 février, puis n’a pas été livré dans le Mise à jour de sécurité de mars. Cela aurait été un délai d’exécution rapide, mais le Mise à jour de sécurité d’avril est maintenant sorti, et Dirty Pipe, CVE-2022-0847, est toujours introuvable dans le bulletin de sécurité de Google.

L’entreprise n’a pas répondu à notre (ou autres publications’) des questions sur ce qui est arrivé au patch, mais il est raisonnable de s’attendre à ce que le Pixel 6 ait déjà le correctif. Il s’agit d’un téléphone Google avec une puce Google exécutant un système d’exploitation Google, de sorte que l’entreprise devrait être en mesure de publier rapidement la mise à jour. Une fois que le correctif a atteint la base de code fin février, de nombreuses ROM tierces comme GraphèneOS ont pu intégrer le patch début mars.

Il semble que Samsung ait également battu Google pour publier le correctif. Samsung répertorie un correctif pour CVE-2022-0847 dans son propre bulletin de sécurité, indiquant que le correctif est en cours de déploiement sur le Galaxy S22. Samsung divise les vulnérabilités en bogues Android et bogues Samsung, et il indique que CVE-2022-0847 est contenu dans le bulletin de sécurité Android d’avril de Google, même si ce n’est pas vrai. Soit Samsung a sélectionné le correctif et ne l’a pas indiqué dans son bulletin, soit Google a retiré le correctif au dernier moment du Pixel 6.

Le Pixel 6 étant le dernier téléphone à obtenir une mise à jour serait certainement sur la marque de Google, car la société a continuellement eu du mal à obtenir des mises à jour pour son nouveau produit phare à temps. Les correctifs de décembre et de janvier du téléphone sont arrivés avec des semaines de retard, même si les mises à jour rapides sont censées être un argument de vente majeur de la gamme Pixel. Les mises à jour de Pixel devraient arriver rapidement car Google contrôle le matériel et les logiciels, et avec le Pixel 6, la société a également commencé à concevoir son propre SoC avec l’aide de Samsung. Google a moins d’entreprises extérieures avec lesquelles se coordonner que jamais, mais il ne peut toujours pas pousser les mises à jour Android aussi rapidement qu’il le devrait.

Le correctif a atteint le référentiel de code source d’Android il y a 40 jours. Maintenant que le bogue est public et que tout le monde peut l’exploiter, il semble que Google devrait agir plus rapidement pour fournir le correctif.