Linux内存复制技术

上个月末，我们报告了一个非常关键的Linux漏洞，这个漏洞允许root用户在任何Android设备上进行访问，此特权提升漏洞已在Linux内核中存在9年。 但是，它在上个月引起了广泛关注。 此漏洞的名称为Dirty Cow，在Linux Bug Tracker系统中分配为CVE-2016-5195。

通过利用Dirty Cow漏洞，用户可以利用涉及在写入Linux内存复制技术时复制的竞争条件的错误。该错误使用户可以实际访问通常是只读的内存映射。当我们撰写此问题时，它已经在Linux内核中进行了修补，但是，希望其设备安全的Android用户对于11月的安全更新并不是很幸运。

Android OEM可以控制在他们出售的任何手机上修补他们想要的任何东西。例如，黑莓实际上在Google每月的Android安全更新中包括QuadRooter漏洞之前对其进行了修补。但是，大多数OEM都将等待Google发送补丁程序，然后，少数OEM(如LG和Samsung)将包含一些自定义软件特有的补丁程序。

Android的高级副总裁Hiroshi Lockheimer在一次采访中证实，谷歌通常会在将Android漏洞发布给制造商后一个月对补丁进行修补。洛克海默继续告诉我们，安全补丁首先发布给Android OEM，然后一个月后，它们将发布给Nexus和Pixel设备。这对于Android OEM来说是一件公平的事情，因为它使他们有时间实施和测试这些补丁，但是它可能使用户在整个月(或更长的时间)内都面临安全漏洞。

因此，我们很可能会在12月针对Android的安全更新中看到对Dirty Cow漏洞的修补，并且Google发言人与ArsTechnica确认了这一时间表。