32 bits de dolor: por qué quienes tienen teléfonos antiguos deberían preocuparse por un fallo reciente en Linux
CVE-2025-38352: así opera la nueva trampa digita
Una vulnerabilidad en la implementación de los temporizadores CPU POSIX del kernel de Linux se convirtió en tema de debate tras la publicación de una prueba de concepto (PoC) funcional. Se trata del error CVE-2025-38352, con un escenario típico de use-after-free, que afecta a la función handle_posix_cpu_timers(), responsable de procesar los temporizadores disparados durante el cambio de tareas a nivel de CPU.
La esencia de la vulnerabilidad radica en una carrera entre las operaciones que liberan recursos de procesos que han pasado al estado zombie y la eliminación del temporizador correspondiente. Si el temporizador es liberado por el mecanismo RCU pero su estructura sigue siendo utilizada, se produce un acceso a una región de memoria que ya no existe.
Para la demostración del exploit se crea un hilo auxiliar con un temporizador configurado para dispararse justo después de que el hilo pase a estado zombie. El proceso padre, al mismo tiempo, inicia la eliminación del temporizador usando ptrace. Si las operaciones coinciden en el intervalo temporal adecuado, se puede lograr un acceso a memoria ya liberada, lo que permite corromper la integridad de datos en el kernel.
El estudio confirma que la vulnerabilidad es relevante solo para dispositivos Android de 32 bits basados en la arquitectura ARM. Los sistemas más modernos con kernel de 64 bits están protegidos gracias a la opción CONFIG_POSIX_CPU_TIMERS_TASK_WORK activada, que impide este tipo de explotación. Por ello, el uso del exploit sigue estando limitado a determinadas configuraciones de Android en las que falta esa protección.
Para verificar con éxito la prueba de concepto se requiere un entorno específico: kernel versión 6.12.33, configuración multiprocesador y el sistema de detección de errores de memoria KASAN desactivado. Los autores de la prueba realizaron pruebas con diferentes ajustes y registraron firmas de fallos características que indican violaciones en el funcionamiento del kernel.
Aunque el código desarrollado aún no se ha utilizado para obtener privilegios, existe la posibilidad de perfeccionarlo empleando una técnica de ataque al montón mediante la contaminación cruzada de caché. Los desarrolladores del kernel ya han publicado actualizaciones que corrigen la vulnerabilidad. Para prevenir el riesgo de explotación, se recomienda a los propietarios de dispositivos vulnerables instalar cuanto antes las versiones corregidas del kernel.