Google не включит патч для Linux-уязвимости Dirty COW в Android до декабря

Ноябрьское обновление безопасности для Android от Google — Android Security Bulletin — получило исправление десятков критических и высокоприоритетных проблем, однако патч для критической уязвимости Dirty COW (CVE-2016-5195) в нём отсутствует.

Изображение уязвимости Dirty COW / Иллюстрация с сайта Dirtycow.Ninja

Уязвимость Dirty COW заключается в некорректной обработке copy-on-write в ядре Linux, что позволяет превышать привилегии локальным системным пользователям (получать права root). Она была найдена в октябре и затронула все актуальные версии ядра Linux (включая используемые в мобильной платформе Android), т.к. содержалась в коде на протяжении 9 лет. Обновление безопасности для пользователей Android-устройств Nexus и Pixel, получившее номер 2016-11-05 (security patch level), не включает в себя исправление Dirty COW. Для этой уязвимости создано дополнительное обновление 2016-11-06, которое будет выпущено только в декабре и отправлено Android-пользователям Google и его партнёрами вместе с security-патчами под номером 2016-12-01.

Так получилось, потому что о ноябрьском обновлении партнёры Google по Android были уведомлены ещё 20 октября, а публичный «анонс» Dirty COW случился лишь на следующий день. Впрочем, такая ситуация не у всех производителей Android-устройств: например, ноябрьское обновление Samsung для ряда её продуктов Galaxy (SMR-NOV-2016) включило в себя патч SVE-2016-7504: «Linux kernel race condition on CopyOnWrite (DirtyCOW)».

Дмитрий Шурупов по материалам zdnet.com.