Nem javít egy kritikus hibát a novemberi Android-patch
Még egy hónapig sújthatja az androidos eszközöket a Dirty Cow sebezhetőség, miután annak javítása kimaradt a Google novemberi biztonsági frissítéscsomagjából. A keresőóriás egy soron kívüli patchet azért eljuttatott a gyártóknak, amelyet a BlackBerry és a Samsung már saját hatáskörben fel is használt.
Kiadta az Android novemberi biztonsági frissítését a Google, a patch ugyanakkor egyelőre nem nyújt védelmet a rendszer alatt dolgozó Linux kernelt fenyegető, nemrég felfedezett súlyos sebezhetőség, a "Dirty Cow" ellen. Az október végén publikált biztonsági hiba jogosultságemelést tesz lehetővé, azt kihasználva a támadók a linuxos gépek, illetve az androidos eszközök fölött is átvehetik az irányítást. A bug potenciális veszélyeit egy független szakértő a Google mobil operációs rendszerén már demonstrálta is, linuxos webszervereken pedig jelenleg is aktívan kiaknázott sebezhetőségről van szó. A Google azért teljesen nem hagyja figyelmen kívül a problémát, azt soron kívüli addicionális frissítésként elérhetővé tette a gyártók számára, amelyre többen már le is csaptak.
A Dirty Cow, vagy leánykori nevén CVE-2016-5195 még 2007-ben került a Linux kernelbe, ami azt jelenti, hogy az összes eddig megjelent Android verziót érinti, egészen az 1.0-ig visszamenőleg. A hibáról persze a Google már jóval azelőtt értesült, hogy azt október 19-én közzétette volna, a nyilvános bejelentést épp azért odázta el, hogy addigra legyen idő megfelelő javítást készíteni. Ez az iparágban bevett gyakorlat, amellyel a cégek minimalizálni próbálják a biztonsági rések által jelentett veszélyt - sajnos persze előfordul, hogy a hiba felfedezői épp a publikálással próbálják rávenni a hanyagabb vállalatokat azok befoltozására.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
Az iparág ennek megfelelően arra számított, hogy az Google rendes, havonta kiadott frissítésében majd befoltozza a Dirty Cowt, ez ugyanakkor, mint a patch tegnapi publikálásakor kiderült, most elmaradt, a sebezhetőség továbbra is minden androidos eszközön ott tátong, azt a cégeknek egy külön, soron kívül kiadott sürgősségi frissítéssel kell azt hatástalanítani. A probléma vélhetően annak köszönhető, hogy a Google havi frissítései előre lefektetett szabályrendszer szerint és pontos határidőkkel operálnak, a Dirty Cow pedig túl későn érkezett a novemberi patch-hez.
Emiatt a hivatalos novemberi patch szint nem tartalmazza kötelezően ezt a javítást, de a cég azt biztosítja a partnerek számára és az általa támogatott eszközökre is kiadta (azaz egyes Nexus, Pixel és Android One tulajokhoz). Ahogy arra az Ars Technica is rámutat, a cég a patchet először, egy hónappal a publikus kiadás előtt, a gyártópartnereknek teszi elérhetővé, hogy azok saját készülékeikre szabhassák azt. Ennek megfelelően a most érkező javítás még a Dirty Cow megjelenése előttről származik, annak teljes, havi frissítése foglalt befoltozására minden valószínűség szerint csak egy hónap múlva számíthatunk - a 2016 decemberi patch szintet mutató telefonokon már kötelező módon javítva lesz a hiba.
Ahogy fentebb már szó volt róla, webszerverek esetén már jól bevált módszerek léteznek a hiba kihasználására, amelyet a támadók sok esetben más Linux-sebezhetőségekkel is kombinálnak - de még beszédesebb, hogy a bütykölős-főzött ROM-os androidos közösségekben is egyre népszerűbb eszközzé válik a módszer a készülékek rootolására. A javítást tehát úgy tűnik a decemberi frissítésben adja majd ki a Google.
Szerencsére vannak gyártók, akik a soron kívüli frissítést alkalmazva már javították a problémát, ilyen a BlackBerry, amely két napja tette elérhetővé a Dirty Cowt orvosló frissítését, illetve az okostelefonpiacot vezető Samsung is, amely legutóbbi javításában ugyancsak befoltozta a sebezhetőséget.