La mise à jour de sécurité d’Android de mai est sortie, ce qui signifie que le Pixel 6 reçoit enfin un correctif pour la vulnérabilité Dirty Pipe. La mise à jour intervient un mois après que Samsung a envoyé le correctif de Google au Galaxy S22, mais au moins, il arrive enfin.
Dirty Pipe, alias CVE-2022-0847, est l’une des plus grandes vulnérabilités Linux apparues ces dernières années. La vulnérabilité permet à un utilisateur non privilégié d’écraser des données censées être en lecture seule, ce qui peut entraîner une élévation de privilèges supplémentaire. Android a en fait une démo fonctionnelle de cela. L’utilisateur de Twitter @Fire30_ a fait une démonstration en utilisant le bogue pour rooter un Pixel 6. Les appareils Linux exécutant 5.8 et versions ultérieures sont affectés, et après la découverte de la vulnérabilité le 19 février, les correctifs pour les distributions PC de Linux ont commencé à être déployés après 17 jours.
Android a été une autre histoire, cependant. Tout d’abord, peu d’appareils exécutent encore le noyau Linux 5.8. Malgré la sortie de cette version en août 2020, Android n’est passé de 5.4 à 5.10 qu’avec la sortie d’Android 12 en novembre. Étant donné que les appareils existants ne sautent généralement pas sur les principales versions du noyau lorsqu’ils reçoivent une mise à jour Android, cela signifie que seuls les nouveaux appareils fournis avec Android 12 ont le noyau 5.10. Il s’agit d’un très petit nombre de nouveaux appareils lancés au cours des huit derniers mois environ, à savoir le Pixel 6, le Galaxy S22 et le OnePlus 10 Pro.
Selon le chercheur qui a découvert la faille, Google a corrigé Dirty Pipe dans la base de code Android le 23 février. Samsung a pris ce code de Google et l’a déployé sur le Galaxy S22 le mois dernier, mais Google a fini par attendre un mois supplémentaire, et c’est enfin arrivé aux utilisateurs de Pixel 6 cette semaine. OnePlus est toujours à la traîne.
Google classe Dirty Pipe dans la seule catégorie de gravité “élevée”, ce qui explique pourquoi l’entreprise n’a pas rapidement publié de mise à jour. Dirty Pipe n’atteint pas le niveau de vulnérabilité “critique” sur Android car il n’est pas exploitable à distance. Vous devez avoir un accès local pour utiliser l’exploit, et tant qu’il n’y a pas d’autres vulnérabilités connues, vous devriez être en sécurité si vous n’installez rien de malveillant.
Dans d’autres nouvelles de mise à jour Android, la fin de la ligne pour le Pixel 3a de milieu de gamme est en vue. Avec trois ans de mises à jour majeures du système d’exploitation, mai 2022 marque la dernière version du système d’exploitation officiellement promise du Pixel 3a. Google a déclaré à 9to5Google que l’appareil recevrait une dernière mise à jour d’ici juillet 2022.
