CVE-2025-38352
Mis à jour :
Vulnérabilité critique dans le noyau Linux : Escalade de privilèges sur Android
Une faille de sécurité, identifiée sous le nom de CVE-2025-38352, a été découverte dans le noyau Linux, affectant la gestion des minuteurs CPU POSIX. Elle résulte d’une condition de concurrence entre les fonctions handle_posix_cpu_timers() et posix_cpu_timer_del().
Ce problème peut se manifester lorsqu’une tâche non autoréapée, en cours de sortie, a déjà passé la notification de sortie (exit_notify()) et appelle handle_posix_cpu_timers() depuis une requête d’interruption (IRQ). Si, simultanément, une autre opération posix_cpu_timer_del() s’exécute, elle pourrait ne pas détecter correctement l’état du minuteur CPU (timer->it.cpu.firing != 0). Cette défaillance peut entraîner l’échec de cpu_timer_task_rcu() et/ou lock_task_sighand().
L’exploitation de cette vulnérabilité permet une escalade de privilèges sur les appareils Android.
Points Clés :
- Produit affecté : Noyau Linux
- Composant vulnérable : Gestion des minuteurs CPU POSIX
- Type de vulnérabilité : Condition de concurrence (Race Condition)
- Impact potentiel : Escalade de privilèges sur les appareils Android
Vulnérabilité :
- CVE-ID : CVE-2025-38352
Recommandations : Bien que l’article ne détaille pas explicitement les recommandations, la nature de la vulnérabilité implique la nécessité de mettre à jour le noyau Linux vers une version corrigée. Les développeurs et administrateurs de systèmes utilisant des noyaux Linux devraient surveiller les bulletins de sécurité officiels pour l’application des correctifs.