Portal BeritaPortal Teknologi

Samsung dan Google tidak setuju apakah kerentanan Dirty Pipe

Samsung dan Google tidak sepakat apa liabilitas Dirty Pipe sudah diperbarui dalam tambalan belakangan ini

Walau penyempurnaan untuk Piksel dan handphone Samsung sudah dikeluarkan dengan tingkat patch April 2022 yang diikutkan, ada beberapa ketidaktahuan mengenai satu liabilitas keamanan penting dan profile tinggi. Walau Buletin Keamanan Android untuk bulan April sudah diedarkan ini hari, itu tidak mengatakan jika itu mengulas liabilitas Dirty Pipe, yang bisa dipakai untuk eksekusi code arbitrer. Samsung, di lain sisi, menjelaskan jika tambalan Google dalam buletin bulan April betul-betul menangani Dirty Pipe, dan seri Galaxy S22 tak lagi dipengaruhi.

Yang belum mengetahui, Google membuat “tingkat tambalan” besar untuk Android yang meliputi pembaruan untuk liabilitas keamanan tiap bulan. Pembikin handphone memperoleh akses lebih cepat untuk mengeluarkan penyempurnaan secara terkoordinasi pada awal tiap bulan — dengan anggapan mereka memberi penyempurnaan bulanan. (Beberapa produsen menggulung peralihan ini untuk piranti premium yang semakin sedikit dan mengirimkan tiap 2 bulan, atau sekali seperempat.) Tiap bulan, Google mengeluarkan buletin yang menerangkan liabilitas yang mana sudah ditangani di semua tingkat patch bulanan yang disiapkan. Catatan tiap bulan mengatakan tipe liabilitas, tingkat keparahan, dan pengenal CVE yang diputuskan kepadanya, dan catatan bulan ini dari Google untuk April 2022 tidak mempunyai CVE-2022-0847.

Pengidentifikasi itu berkaitan dengan liabilitas Dirty Pipe, yang sudah dieksplorasi oleh beberapa periset untuk seutuhnya me-root Google Piksel 6 Pro dan seri Samsung Galaxy S22 dengan manfaatkan bug dalam langkah Linux tangani membaca dan menulis ke file. Dilaksanakan secara benar, eksploit memungkinkan eskalasi hak spesial dan eksekusi code arbitrer – istilah mengerikan yang pada intinya memiliki arti artis jahat bisa memakai eksploit untuk memperoleh kontrol penuh dari satu mekanisme (dan fans kemungkinan memakainya untuk memperoleh akses root).

Dengan dokumentasi ekstensif yang sekarang ini ada berkenaan eksplorasi dan efeknya di semua mekanisme yang jalankan versus tertentu dari kernel Linux, itu kemungkinan sedang aktif dipakai “di alam liar” oleh artis jahat, walau kemungkinan kecil ada orang yang sekarang ini memakainya untuk menarget Android. telephone. Liabilitas membutuhkan versus kernel Linux yang paling baru, dan handphone Android condong “hidup” pada satu versus nyaris sejauh hidup mereka. Tidak terhitung Piksel 6 dan support Generic Kernel Gambar, cuman handphone dengan Snapdragon 8 Gen 1 yang dikeluarkan di Android 12 ataupun lebih baru yang hendak dipengaruhi. Itu terhitung seri Galaxy S22, Xiaomi 12 Pro, OnePlus 10 Pro, dan Piksel 6 dan 6 Pro yang disokong Tensor Google

Buletin Keamanan Android April 2022 tidak mengikutkan pembaruan untuk CVE yang berkaitan dengan liabilitas Dirty Pipe, pun tidak disebut dalam Buletin Penyempurnaan Pixel khusus piranti dan terpisah. Mishaal Rahman dari Esper.io sudah mengonfirmasi selanjutnya jika tanggal pembikinan kernel dan tag untuk tambalan sekarang ini pada Piksel 6 Pro memperlihatkan jika itu tetap sama dan mustahil mengikutkan pembaruan untuk Dirty Pipe. Tetapi, catatan tempel dan dokumentasi Samsung untuk penyempurnaan April pada seri Galaxy S22 secara eksplisit menjelaskan sudah diperbarui di situ. Lebih anehnya kembali, dokumentasi Samsung langsung mengatakan jika Google melakukan perbaikan pada akhirannya dengan penyempurnaan April 2022, tidak sepakat dengan dokumentasi Google sendiri.

Secara singkat: Samsung menjelaskan Google melakukan perbaikan dan, dengan kelengahan, Google menjelaskan tidak.

Kami sudah mengontak Google untuk memverifikasi lebih eksplisit apa liabilitas Dirty Pipe sudah ditangani di tingkat patch terkini, dan apa Piksel 6 masih dipengaruhi, tapi perwakilan dari perusahaan belum menyikapi pertanyaan (berulang-ulang) kami. Kami sudah mengontak Samsung selanjutnya untuk info selanjutnya mengenai seri S22, dan perusahaan sedang menyelidik permasalahan ini.

Samsung kemungkinan sudah lakukan pembaruan lebih cepat dalam cara-cara, tapi dokumentasi perusahaan masih menyangkutkan pembaruan dengan Buletin Keamanan Android April 2022. Bisa saja Google memang membenahi permasalahan untuk beberapa piranti/kernel dan bukan lainnya, atau suatu hal lainnya dapat terjadi.

Walau cuman beberapa handphone yang paling baru (dan relatif kelas tinggi) yang dipengaruhi, ingat tingkat keparahan liabilitasnya, banyak konsumen setia mengharap itu bisa diperbarui secara detail dengan penyempurnaan bulan ini, sesudah pengungkapan publiknya pada 7 Maret. Tapi kondisinya masih muram, dan walau ini mempengaruhi keamanan konsumen setia, Google tidak banyak berbuat untuk menyelesaikannya.

Leave a Reply

Your email address will not be published.

Back to top button