本周早些時候,Google 發布了 2022 年 4 月份的 Android 安全更新,但它並未包含對上月曝光的“Dirty Pipe”漏洞的修補。慶幸的是,儘管大多數廠商可能要拖到 5 月才推出補丁,但谷歌和三星已經先行一步。據悉,作為 Linux 內核中發現的一個安全漏洞,CVE-2022-0847 會允許某人在只讀進程中注入並覆蓋數據,而無需 root 或任何管理員權限。
XDA-Developers 指出:Dirty Pipe 漏洞已被用於在 Android 設備上實現臨時 root 訪問,但也很容易被惡意軟件和其它未知軟件獲得系統訪問權限。
目前 Linux 內核(Kernel 5.16.11、5.15.25 和 5.10.102)已經完成 CVE-2022-0847 安全漏洞的修復,但可惜谷歌尚未將它全面包含到 2022 年 4 月份的 Android 安全更新中。
不願等待 5 月安全更新的朋友,如果你正在使用 Pixel 6 / 6 Pro,那現在已經能夠獲取谷歌在周四發布的 Android QPR3 Beta 2(包含該內核補丁)。
與此同時,三星也率先為旗下 Galaxy 設備的 4 月 Android 更新引入了該修復程序(有在安全公告中提及 CVE-2022-0847),且被驗證能夠抵禦 Dirty Pipe 攻擊。
尷尬的是,小米 12 / 12 Pro 的速度太過拖沓 —— 自 2 月首發以來,尚未向用戶提供過安全更新,此外一加等 Android 智能機廠商也尚未發布其 4 月更新。
在此之前,還請廣大 Android 智能機用戶保持良好的使用習慣,尤其注意不安裝來源不明的 APK 文件。