В ядре операционной системы Android обнаружена новая серьёзная уязвимость, затрагивающая защищённую среду виртуализации pKVM (protected Kernel-based Virtual Machine). Проблема, получившая идентификаторы BDU:2025-15116 и CVE-2025-48637, может позволить злоумышленнику повысить свои привилегии в системе.
Детали уязвимости
Уязвимость была официально подтверждена производителем, компанией Google, 28 августа 2025 года. Она относится к классу уязвимостей кода и связана с ошибками синхронизации при работе с общим ресурсом. Технически проблема классифицируется как "ситуация гонки" (race condition), а именно разновидность TOCTOU (Time-of-Check Time-of-Use). Это означает, что состояние ресурса проверяется и используется в разные моменты времени, что создаёт окно для атаки. В данном случае ошибка возникает в процессе добавления страниц в кэш памяти внутри pKVM.
Эксплуатация этой уязвимости представляет значительную угрозу. Атакующий, имеющий доступ к устройству, может использовать состояние гонки для манипулирования памятью и обхода механизмов изоляции. В результате возможно повышение привилегий локального пользователя до уровня ядра системы. Следовательно, злоумышленник получает практически полный контроль над устройством, что позволяет устанавливать вредоносное ПО (malware), красть конфиденциальные данные или обеспечивать постоянное присутствие (persistence) в системе.
Уровень опасности уязвимости оценивается как критический. Базовый балл по шкале CVSS 3.1 составляет 9.3, что указывает на высокий риск эксплуатации и тяжёлые последствия. Атака не требует взаимодействия с пользователем (UI:N) и может быть выполнена локально (AV:L), но при этом затрагивает все компоненты безопасности (S:C). В рамках модели CVSS 2.0 уязвимость получила 7.2 балла, что соответствует высокому уровню опасности.
Уязвимость затрагивает операционные системы Android, использующие технологию pKVM. Точный список версий не уточняется в бюллетене, однако проблема была устранена в рамках ежемесячного обновления безопасности за декабрь 2025 года. На текущий момент статус наличия эксплойта, то есть реального кода для эксплуатации уязвимости, уточняется. Однако критическая оценка CVSS и тип уязвимости предполагают, что она может привлечь внимание исследователей и киберпреступников.
Для устранения угрозы производитель выпустил соответствующие патчи. Google рекомендует всем пользователям и производителям устройств незамедлительно установить обновления безопасности, опубликованные 1 декабря 2025 года. Исправления уже интегрированы в исходный код ядра Android. Соответствующие коммиты доступны в репозитории проекта AOSP (Android Open Source Project). Таким образом, способом устранения является штатное обновление программного обеспечения устройства через системные настройки.
Это открытие в очередной раз подчёркивает важность своевременной установки обновлений безопасности, особенно для мобильных операционных систем. Постоянное усложнение кодовой базы, включая такие компоненты, как гипервизоры и механизмы виртуализации, создаёт новые векторы для атак. pKVM является ключевым элементом системы безопасности Android, обеспечивающим изоляцию критически важных компонентов, поэтому уязвимости в нём требуют оперативного реагирования. Пользователям стоит регулярно проверять доступность обновлений для своих устройств.
Ссылки
- https://bdu.fstec.ru/vul/2025-15116
- https://source.android.com/docs/security/bulletin/2025-12-01
- https://android.googlesource.com/kernel/common/+/4cfc9c2d8815577832cafbfcd7f98025f0da718d
- https://android.googlesource.com/kernel/common/+/aff2255dbe38dc7c57bac8d3ba9feed989289b20
