Специалисты фирмы Perception Point обнаружили в ядре операционной системы Linux уязвимость, позволяющую приложениям, запущенным с полномочиями обычного пользователя, получить административные права. Уязвимость имеется во всех версиях ядра Linux, начиная с версии 3.8, официально выпущенной в феврале 2013 года. На них работают десятки миллионов серверов и персональных компьютеров, а также порядка 66% всех смартфонов и планшетов на базе системы Android 4.4 (KitKat) и более поздних версий.
Ошибка была обнаружена в подсистеме, предназначенной для хранения в памяти ядра ключей шифрования и других данных, и была связана с некорректным освобождением памяти и переполнением счетчика ссылок. В Perception Point пока не наблюдали атак, использующих эту уязвимость, но рекомендуют как можно скорее закрыть ее. Однако рассылка исправлений ядра системы должна осуществляться производителями устройств на базе Android, и, как правило, занимает много времени. Кроме того, поддержка большинства устройств заканчивается всего через полтора года после выпуска, и им исправление не будет выслано. В таком же положении могут оказаться бытовые маршрутизаторы и другие встраиваемые устройства на базе Linux.