CVE-2025-68260

Nome do Software Vulnerável e Versões Afetadas Versões 6.18 e posteriores do kernel Linux Driver Binder do Android (implementação em Rust)

Descrição A primeira vulnerabilidade Common Vulnerabilities and Exposures (CVE) foi atribuída a código em Rust dentro do kernel Linux. O problema, identificado como CVE-2025-68260, afeta a reescrita do driver Binder do Android e é causado por uma condição de corrida em um bloco unsafe. Esta condição de corrida pode levar à corrupção de memória dos ponteiros prev e next em uma lista encadeada, potencialmente causando um pânico do kernel ou travamento do sistema. A vulnerabilidade é resultado de uma falha no tratamento de concorrência dentro do código unsafe, onde as garantias de segurança da linguagem não se aplicam e os desenvolvedores devem garantir manualmente a correção. O problema ocorre quando threads acessam e modificam concorrentemente uma lista encadeada, levando à corrupção de dados. A vulnerabilidade não permite atualmente execução remota de código ou escalonamento de privilégios, sendo avaliada como uma questão de Negação de Serviço (DoS).

Recomendações Para os mantenedores do kernel, garantam que os patches upstream para a CVE-2025-68260 sejam aplicados caso estejam distribuindo kernels com o driver Binder em Rust habilitado (CONFIG ANDROID BINDER IPC RUST).