Le Pixel 6 reçoit enfin un patch Dirty Pipe, un mois après le Galaxy S22

Le Pixel 6 reçoit enfin un patch Dirty Pipe, un mois après le Galaxy S22

3 mai 2022 0 Par Le Caiman
Image promotionnelle d'un smartphone de pointe.

Android Mise à jour de sécurité de mai est sorti, et cela signifie que le Pixel 6 reçoit enfin un correctif pour la vulnérabilité Dirty Pipe. La mise à jour intervient un mois après que Samsung a envoyé le correctif de Google au Galaxy S22, mais au moins, il arrive enfin.

Dirty Pipe, alias CVE-2022-0847, est l’une des plus grandes vulnérabilités Linux apparues ces dernières années. La vulnérabilité permet à un utilisateur non privilégié d’écraser des données censées être en lecture seule, ce qui peut entraîner une élévation de privilèges supplémentaire. Android a en fait une démo fonctionnelle de cela. L’utilisateur de Twitter @ Fire30_ a fait une démonstration en utilisant le bogue pour rooter un Pixel 6. Les appareils Linux exécutant 5.8 et versions ultérieures sont affectés, et après la découverte de la vulnérabilité le 19 février, des correctifs pour les distributions PC de Linux ont commencé à être déployés après 17 jours.

Android a été une autre histoire, cependant. Tout d’abord, peu d’appareils exécutent encore le noyau Linux 5.8. Malgré la sortie de cette version en août 2020, Android n’est passé de 5.4 à 5.10 qu’avec la sortie d’Android 12 en novembre. Étant donné que les appareils existants ne sautent généralement pas sur les principales versions du noyau lorsqu’ils reçoivent une mise à jour Android, cela signifie que seuls les nouveaux appareils fournis avec Android 12 ont le noyau 5.10. Il s’agit d’un très petit nombre de nouveaux appareils lancés au cours des huit derniers mois environ, à savoir le Pixel 6, le Galaxy S22 et le OnePlus 10 Pro.

Selon le chercheur qui a découvert la faille, Google a corrigé Dirty Pipe dans la base de code Android le 23 février. Samsung a pris ce code de Google et l’a déployé sur le Galaxy S22 le mois dernier, mais Google a fini par attendre un mois supplémentaire, et c’est enfin arrivé aux utilisateurs de Pixel 6 cette semaine. OnePlus est toujours à la traîne.

Le Pixel 3a, le premier téléphone Pixel milieu de gamme de Google, sera bientôt mort.

Google classe Dirty Pipe dans la seule catégorie de gravité « élevée », ce qui explique pourquoi l’entreprise n’a pas rapidement publié la mise à jour. Dirty Pipe n’atteint pas le niveau de vulnérabilité « critique » sur Android car il n’est pas exploitable à distance. Vous devez avoir un accès local pour utiliser l’exploit, et tant qu’il n’y a pas d’autres vulnérabilités connues, vous devriez être en sécurité si vous n’installez rien de malveillant.

Dans d’autres nouvelles de mise à jour Android, la fin de la ligne pour le Pixel 3a de milieu de gamme est en vue. Avec trois ans de mises à jour majeures du système d’exploitation, mai 2022 marque la dernière du Pixel 3a officiellement promis Version du système d’exploitation. Google a dit 9to5Google que l’appareil recevrait une dernière mise à jour d’ici juillet 2022.