В ядре Linux нашли первую уязвимость в коде на Rust
Главная » Новости
Первый летний опен-эйр для специалистов по кибербезопасности 17 июля в 11:00 встречаемся в «Берёзы Парк Строгино», где обсудим ИИ в кибербезе, таргетированные атаки, цифровую криминалистику и Bug Bounty.
В программе:
• доклады и практические кейсы;
• воркшопы и киберучения;
• спикерские консультации и живой нетворкинг;
• игровые активности и квест по социнженерии;
• научпоп с Владимиром Сурдиным.→ Купить билет
Реклама. АО «Инфосистемы Джет», ИНН 7729058675, 7+

В ядре Linux нашли первую уязвимость в коде на Rust

Екатерина Быстрова 18 Декабря 2025 - 09:27
...
В ядре Linux нашли первую уязвимость в коде на Rust

В ядре Linux зафиксировали первую уязвимость (CVE), связанную с кодом на Rust. Об этом сообщил один из ключевых разработчиков ядра Грег Кроа-Хартман, а подробности появились в рассылке Linux. Речь идёт о проблеме под идентификатором CVE-2025-68260, которая затрагивает переписанный на Rust драйвер Android Binder.

Проблема, согласно публикации Phoronix, связана с состоянием гонки (race condition), возникающим из-за использования небезопасного Rust-кода. В определённых условиях это может привести к повреждению указателей в памяти и, как следствие, к сбою системы.

Уязвимость затрагивает версии ядра Linux 6.18 и новее, то есть те сборки, где появился Rust-драйвер Binder. Важно отметить, что речь идёт именно о потенциальном сбое в работе системы — удалённого выполнения кода или компрометации здесь нет.

Сам Грег Кроа-Хартман подчёркивает, что это первый подобный случай с момента появления Rust-кода в основном дереве ядра Linux. И хотя для кого-то новость может прозвучать тревожно, разработчики призывают не делать поспешных выводов: уязвимость не критическая, а сам факт её обнаружения — скорее показатель того, что Rust-код в ядре теперь проходит тот же путь зрелости, что и C-код десятилетиями ранее.

В сообществе также отмечают, что проблема возникла не «вопреки» Rust, а как раз из-за использования небезопасных участков, без которых в ядре пока не обойтись. Это лишний раз показывает, что Rust снижает класс рисков, но не отменяет необходимости аккуратного проектирования и ревью.

Подробности по CVE-2025-68260 уже опубликованы в официальной рассылке Linux CVE, а исправления, как ожидается, появятся в ближайших обновлениях ядра.

Следующая главная новость »
AM LiveБезопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Российский софт готовят к отзыву западных сертификатов
Екатерина Быстрова 22 Июня 2026 - 09:15
Соответствие законодательству РФ КорпорацииГосударство
Российский софт готовят к отзыву западных сертификатов

Российская ИТ-отрасль готовится к сценарию, который ещё недавно казался маловероятным: западные удостоверяющие центры могут начать массово отзывать сертификаты подписи программного кода у российских разработчиков. Чтобы не остаться без работающего софта, крупнейшие игроки рынка уже создают собственную систему доверия.

Как выяснил РБК, на базе Национального технологического центра цифровой криптографии работает группа «Единое пространство доверия», в которую входят «Астра», «Сбертех», «Базальт СПО», «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и другие компании.

Они разрабатывают Отраслевой технологический удостоверяющий центр (ОТУЦ), который должен заменить ушедшие западные сервисы выдачи сертификатов подписи кода.

Проект уже вышел за рамки теории. По словам главы «КриптоПро» Станислава Смышляева, центр работает в тестовом режиме, а разработчики Astra Linux, «Альт», РЕД ОС, ROSA, «Авроры» и ряда ИБ-продуктов уже протестировали выпуск сертификатов и проверку подписанного программного обеспечения.

Проблема стала особенно актуальной после того, как в июне японская GlobalSign начала отзывать сертификаты безопасности у российских сайтов. В отрасли опасаются, что следующим шагом могут стать сертификаты для подписи программ.

Если такой сценарий реализуется, последствия будут серьезными. Операционные системы перестанут доверять программам с отозванными сертификатами: где-то появятся предупреждения, а где-то запуск может быть полностью заблокирован. Для разработчиков это означает риск остановки поставок обновлений и новых версий продуктов.

Особенно болезненной ситуация может стать для компаний, чьи решения работают в Windows и других зарубежных операционных системах. По данным рынка, Windows до сих пор используется более чем в 80% российских организаций.

В Минцифры утверждают, что на случай проблем уже есть резервный план. Национальный удостоверяющий центр получил право выпускать отечественные сертификаты подписи кода, а параллельно тестируется использование российских криптографических алгоритмов ГОСТ в Linux и Android.

По сути, отрасль строит собственный аналог национальной платежной системы, только для программного обеспечения. Логика простая: если зарубежная инфраструктура доверия однажды отключится, российский софт должен продолжить работать без сбоев и риска подмены кода злоумышленниками.

AM LiveБезопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!
В 6 из 10 случаев цифровой агрессор — знакомый человек
Новость
В 6 из 10 случаев цифровой агрессор — знакомый человек
Яндекс.Облако обновило оферту: блокировки и удаление контента — без суда
Новость
Яндекс.Облако обновило оферту: блокировки и удаление контент...
Не взлом, а давление: мошенники всё чаще охотятся на подростков
Новость
Не взлом, а давление: мошенники всё чаще охотятся на подрост...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.