Szerző: Hlács Ferenc

2016. november 09. 11:44:00

Nem javít egy kritikus hibát a novemberi Android-patch

Még egy hónapig sújthatja az androidos eszközöket a Dirty Cow sebezhetőség, miután annak javítása kimaradt a Google novemberi biztonsági frissítéscsomagjából. A keresőóriás egy soron kívüli patchet azért eljuttatott a gyártóknak, amelyet a BlackBerry és a Samsung már saját hatáskörben fel is használt.

Kiadta az Android novemberi biztonsági frissítését a Google, a patch ugyanakkor egyelőre nem nyújt védelmet a rendszer alatt dolgozó Linux kernelt fenyegető, nemrég felfedezett súlyos sebezhetőség, a "Dirty Cow" ellen. Az október végén publikált biztonsági hiba jogosultságemelést tesz lehetővé, azt kihasználva  a támadók a linuxos gépek, illetve az androidos eszközök fölött is átvehetik az irányítást. A bug potenciális veszélyeit egy független szakértő a Google mobil operációs rendszerén már demonstrálta is, linuxos webszervereken pedig jelenleg is aktívan kiaknázott sebezhetőségről van szó. A Google azért teljesen nem hagyja figyelmen kívül a problémát, azt soron kívüli addicionális frissítésként elérhetővé tette a gyártók számára, amelyre többen már le is csaptak.

A Dirty Cow, vagy leánykori nevén CVE-2016-5195 még 2007-ben került a Linux kernelbe, ami azt jelenti, hogy az összes eddig megjelent Android verziót érinti, egészen az 1.0-ig visszamenőleg. A hibáról persze a Google már jóval azelőtt értesült, hogy azt október 19-én közzétette volna, a nyilvános bejelentést épp azért odázta el, hogy addigra legyen idő megfelelő javítást készíteni. Ez az iparágban bevett gyakorlat, amellyel a cégek minimalizálni próbálják a biztonsági rések által jelentett veszélyt - sajnos persze előfordul, hogy a hiba felfedezői épp a publikálással próbálják rávenni a hanyagabb vállalatokat azok befoltozására.

ONLINE Scrum és gépi tanulás meetupjaink indulnak! Jelentkezik az ingyenes HWSW free!, immár online formátumban.

Az iparág ennek megfelelően arra számított, hogy az Google rendes, havonta kiadott frissítésében majd befoltozza a Dirty Cowt, ez ugyanakkor, mint a patch tegnapi publikálásakor kiderült, most elmaradt, a sebezhetőség továbbra is minden androidos eszközön ott tátong, azt a cégeknek egy külön, soron kívül kiadott sürgősségi frissítéssel kell azt hatástalanítani. A probléma vélhetően annak köszönhető, hogy a Google havi frissítései előre lefektetett szabályrendszer szerint és pontos határidőkkel operálnak, a Dirty Cow pedig túl későn érkezett a novemberi patch-hez.

Emiatt a hivatalos novemberi patch szint nem tartalmazza kötelezően ezt a javítást, de a cég azt biztosítja a partnerek számára és az általa támogatott eszközökre is kiadta (azaz egyes Nexus, Pixel és Android One tulajokhoz). Ahogy arra az Ars Technica is rámutat, a cég a patchet először, egy hónappal a publikus kiadás előtt, a gyártópartnereknek teszi elérhetővé, hogy azok saját készülékeikre szabhassák azt. Ennek megfelelően a most érkező javítás még a Dirty Cow megjelenése előttről származik, annak teljes, havi frissítése foglalt befoltozására minden valószínűség szerint csak egy hónap múlva számíthatunk - a 2016 decemberi patch szintet mutató telefonokon már kötelező módon javítva lesz a hiba.

Ahogy fentebb már szó volt róla, webszerverek esetén már jól bevált módszerek léteznek a hiba kihasználására, amelyet a támadók sok esetben más Linux-sebezhetőségekkel is kombinálnak - de még beszédesebb, hogy a bütykölős-főzött ROM-os androidos közösségekben is egyre népszerűbb eszközzé válik a módszer a készülékek rootolására. A javítást tehát úgy tűnik a decemberi frissítésben adja majd ki a Google.

Szerencsére vannak gyártók, akik a soron kívüli frissítést alkalmazva már javították a problémát, ilyen a BlackBerry, amely két napja tette elérhetővé a Dirty Cowt orvosló frissítését, illetve az okostelefonpiacot vezető Samsung is, amely legutóbbi javításában ugyancsak befoltozta a sebezhetőséget.

a címlapról