Northwestern University မှ လုံခြုံရေးသုတေသီနှင့် Ph.D ကျောင်းသား Zhenpeng Lin သည် kernel ကို ထိခိုက်စေသည့် ပြင်းထန်သော အားနည်းချက်တစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်။ androidPixel 6 စီးရီး သို့မဟုတ် ကိရိယာများ Galaxy S22. လုံခြုံရေးအကြောင်းပြချက်များအတွက် ဤအားနည်းချက် မည်သို့အလုပ်လုပ်ပုံအသေးစိတ်အသေးစိတ်အချက်အလက်များကို ထုတ်ပြန်ခြင်းမရှိသေးသော်လည်း ၎င်းသည် မထင်သလိုစာဖတ်ခြင်း၊ ရေးခြင်း၊ အခွင့်ထူးတိုးမြှင့်ခြင်းနှင့် Linux ၏ SELinux လုံခြုံရေးအင်္ဂါရပ်၏ အကာအကွယ်ကို ပိတ်နိုင်သည်ဟု သုတေသီက တောင်းဆိုထားသည်။
ဓာတ်ပုံမှတ်တမ်း
Zhenpeng Lin သည် Pixel 6 Pro ပေါ်ရှိ အားနည်းချက်ကို မည်ကဲ့သို့ root လုပ်နိုင်ပြီး SELinux ကို ပိတ်နိုင်ပုံကို ပြသရန် ရည်ရွယ်သည့် ဗီဒီယိုကို Twitter တွင် တင်ခဲ့သည်။ ထိုကဲ့သို့သော ကိရိယာများဖြင့် ဟက်ကာတစ်ဦးသည် ကျိုးပဲ့ပျက်စီးသွားသည့် စက်ပစ္စည်းကို များစွာထိခိုက်စေနိုင်သည်။
နောက်ဆုံးထွက် Google Pixel 6 ကို kernel တွင် 0day ဖြင့်ထည့်သွင်းထားသည်။ အထူးအခွင့်အရေး တိုးမြင့်ရန် မထင်သလို ဖတ်ရှုခြင်း/ရေးခြင်းတို့ကို အောင်မြင်ပြီး အပိုင်စီးခြင်းကို ထိန်းချုပ်ခြင်းမပြုဘဲ SELinux ကို ပိတ်လိုက်ပါ။ ချို့ယွင်းချက်သည် Pixel 6 Pro ကိုလည်း သက်ရောက်မှုရှိပြီး အခြား Pixels များကိုလည်း သက်ရောက်မှုမရှိပါ။ pic.twitter.com/UsOI3ZbN3L
— Zhenpeng Lin (@Markak_) ဇူလိုင်လ 5, 2022
ဗီဒီယိုတွင်ပြသထားသည့်အသေးစိတ်အချက်များစွာအရ၊ ဤတိုက်ခိုက်မှုသည် မကြာသေးမီကရှာဖွေတွေ့ရှိခဲ့သော Dirty Pipe အားနည်းချက်ကဲ့သို့ အန္တရာယ်ရှိသောလုပ်ဆောင်ချက်ကိုလုပ်ဆောင်ရန် ဤတိုက်ခိုက်မှုသည် မှတ်ဉာဏ်ဝင်ရောက်ခွင့်အလွဲသုံးစားပြုမှုအချို့ကို အသုံးပြုနိုင်သည်။ Galaxy S22၊ Pixel 6 နှင့် အခြားအရာများ androidLinux kernel ဗားရှင်း 5.8 ကိုဖွင့်ထားသည့် ova စက်များ Androidu 12. Lin သည် အားနည်းချက်အသစ်သည် လက်ရှိဖော်ပြထားသော Samsung flagship စီးရီးများပါ၀င်သည့် Linux kernel ဗားရှင်း 5.10 အသုံးပြုထားသော ဖုန်းများအားလုံးအပေါ် သက်ရောက်မှုရှိကြောင်းလည်း Lin မှ ပြောကြားခဲ့သည်။
သင်စိတ်ဝင်စားနိုင်သည်။
ယမန်နှစ်က Google သည် ၎င်း၏စနစ်ရှိ ချို့ယွင်းချက်များကို ရှာဖွေတွေ့ရှိမှုအတွက် ဆုငွေ ဒေါ်လာ 8,7 သန်း (CZK 211,7 သန်း) ပေးချေခဲ့ပြီး လက်ရှိတွင် Kernel အဆင့်ရှိ အားနည်းချက်များကို ရှာဖွေရန်အတွက် $250 (ခန့်မှန်းခြေ CZK 6,1 သန်း) အထိ ပေးဆောင်ထားသည်။ . Google ရော Samsung ရော ဒီကိစ္စနဲ့ ပတ်သက်ပြီး မှတ်ချက်မပေးသေးတဲ့အတွက် Linux kernel exploit အသစ်ကို ဘယ်အချိန်မှာ ဖာထေးရမလဲဆိုတာ မသိရသေးပါဘူး။ သို့သော်လည်း Google ၏ လုံခြုံရေး ပက်ကေ့ခ်ျများ အလုပ်လုပ်ပုံကြောင့် သက်ဆိုင်ရာ patch သည် စက်တင်ဘာလအထိ မရောက်နိုင်တော့ပေ။ ဒါကြောင့် စောင့်ဖို့ကလွဲလို့ ကျွန်တော်တို့မှာ ရွေးချယ်စရာမရှိပါဘူး။
