В рамках бета-версии Android 12 QPR3, которая предваряет июньский выпуск Feature Drop, Google включила исправление для серьезной уязвимости Dirty Pipe, затрагивающей Pixel 6 и Pixel 6 Pro.
В прошлом месяце исследователи в области безопасности поделились подробностями об уязвимости, получившей название «Dirty Pipe», которая позволяла злоумышленнику получить полный контроль над устройством на базе Linux, включая Chromebook и телефоны на Android. К счастью, список затронутых устройств Android был довольно мал и ограничивался только теми, у которых была достаточно свежая версия ядра Linux, но это означало, что последние флагманы от Google и Samsung, а именно серии Pixel 6 и Galaxy S22, были уязвимы.
Исправление для Dirty Pipe было конфиденциально передано Google в феврале и принято в Android в том же месяце. Это заставило некоторых предположить, что исправление для Dirty Pipe будет включено в мартовские или апрельские патчи безопасности для серии Pixel, но этого не произошло. Тем временем Samsung заявила, что устранила уязвимость Dirty Pipe для Galaxy S22 в своем апрельском обновлении.
Поскольку Dirty Pipe — это проблема в ядре Linux, на котором построен Android, любое ее исправление потребует обновления ядра Linux. Для удобства Google указывает дату в названиях сборок ядра Linux, которую можно найти в меню «Настройки» > «О телефоне» > «Версия Android» > «Версия ядра». При использовании обновления от апреля 2022 года вы увидите дату 21 января 2022 года — более чем за месяц до того, как о Dirty Pipe впервые сообщили Google.
Сегодня утром Google выпустила вторую бета-версию следующего Feature Drop на базе Android 12, получившего название «QPR3» (Quarterly Platform Release), для телефонов Pixel, выход которого запланирован на июнь. После установки этого последнего бета-обновления на Pixel 6 или 6 Pro, просмотр версии ядра показывает, что новая сборка датирована 15 марта.
По словам разработчика ядра Android под ником Mile в Twitter, последняя бета-версия QPR3 действительно включает необходимое исправление для Dirty Pipe. Мы обратились в Google за подтверждением исправления, но пока не получили ответа.
Остается открытым вопрос, придется ли владельцам Pixel 6, не участвующим в бета-тестировании, ждать до июньского Feature Drop, или же исправление появится с майским патчем безопасности. Будем надеяться на второе, учитывая серьезность уязвимости Dirty Pipe и ее потенциальную возможность позволить злоумышленнику получить полный контроль над устройством без каких-либо специальных разрешений.
Статья была обновлена вскоре после публикации, чтобы отразить предварительное подтверждение исправления.