Уязвимость CVE-2025-38352 в Linux: что нужно знать

Недавно внимание специалистов привлекла уязвимость CVE-2025-38352, затрагивающая реализацию POSIX CPU таймеров в ядре Linux. Проблема связана с ошибкой типа use-after-free в функции handle_posix_cpu_timers(), отвечающей за обработку таймеров при переключении задач. Уязвимость возникает из-за гонки между освобождением ресурсов для зомби-процессов и удалением таймера. При освобождении таймера через механизм RCU и продолжении его использования возможен доступ к несуществующей памяти, что может привести к сбоям в ядре.

Исследования показывают, что уязвимость затрагивает только 32-битные Android-устройства на базе ARM, в то время как 64-битные системы защищены благодаря опции CONFIG_POSIX_CPU_TIMERS_TASK_WORK. Для демонстрации эксплойта требуется специфическая среда, но разработчики уже выпустили обновления для устранения проблемы. Владельцам уязвимых устройств настоятельно рекомендуется обновить ядро для предотвращения возможных атак.

Помогите проекту, поделитесь с друзьями ;)

Добавить комментарий