Linux e sigur, nu? Normal că e, doar a fost creat de profesioniști, pentru profesioniștii care știu ce fac.
Și totuși, 2025 a venit cu o serie de vulnerabilități care arată că mitul invulnerabilității e doar atât – un mit.
Aha — atunci cum vă explicați că, din cauza vulnerabilității descrise mai jos, e suficient să intri pe un site de știri, pe YouTube, pe blogul ăla cu rețete bune de papanași?
Ei bine, asta e posibil și nu vorbim de atacuri MITM sau phishing, ci de cod rulat direct în browser, fără a fi necesară intervenția atacatorului. Se întâmplă doar fiindcă undeva, în spatele scenei, se afișează o reclamă compromisă sau un script malițios ajuns acolo din cauza celorlalte zeci de vulnerabilități ale tehnologiilor web – fără ca proprietarul site-ului să fi avut habar (genul acela de site găzduit pe un server configurat după tutoriale de pe YouTube, unde proprietarul a aruncat linii de cod în consolă uitându-se la ele ca curca-n crăci).
Codul rulează în browserul tău, care ar trebui să-l țină izolat într-un sandbox, o cutie de siguranță. Teoretic, chiar dacă codul e rău intenționat, nu poate ieși din cutie.
Când sandbox-ul nu mai e sandbox
Ei bine, CVE-2025-38236 permite atacatorului să spargă tocmai cutia asta, să-și facă propriul unboxing, însă fără spectacol. Vulnerabilitatea se ascunde în modul în care Linux gestionează socket-urile UNIX și operațiunile MSG_OOB.
Un proces care rulează în sandbox – cum ar fi un renderer de browser – poate exploata această eroare pentru a declanșa o citire sau scriere în afara limitelor de memorie.
Asta îi permite atacatorului să vadă pointeri din kernel, să compromită memoria și, în final, să escaladeze privilegiile până la nivel de kernel. Adică control total asupra sistemului tău.
Ce înseamnă asta practic?
Înseamnă că bariera care te proteja – sandbox-ul browserului – nu mai există. Un atacator obține control complet asupra sistemului tău fără ca tu să fi făcut ceva greșit.
Vectorul de atac poate fi o simplă reclamă malițioasă plasată pe un site legitim sau, la fel de bine, accesarea unui site self-hosted neprotejat corespunzător. Genul acela de site configurat după tutoriale de pe YouTube, unde proprietarul a aruncat linii de cod în consolă uitându-se la ele ca curca-n crăci, fără să aibă habar ce fac.
Alte probleme notabile din 2025
CVE-2025-38236 nu e singura. Anul acesta a venit cu o serie întreagă:
- CVE-2025-21756 – Vulnerabilitate în subsistemul vsock, care permite spargerea izolării între mașini virtuale și gazda lor. Dacă rulezi VPS-uri sau containere, asta e o problemă.
- CVE-2025-38352 – O eroare de tip race condition în timerul POSIX CPU, deja adăugată de CISA în catalogul Known Exploited Vulnerabilities. Risc înalt pentru servere și containere.
- Zeci de alte CVE-uri în subsisteme de kernel – drivere, GPIO, rețea, file-system-uri. Luate individual, par minore. Cumulate, cresc riscul.
Un comentariu de securitate nota că doar în primele 16 zile ale anului 2025 au apărut 134 de CVE-uri noi pentru kernel-ul Linux. Nu mai e vorba de cazuri izolate.
Ce faci?
Patch-uri. Actualizări.
Kernel-ul nu mai e ceva pe care îl lași „pentru că merge”.
Distribuția ta lansează update-uri de securitate? Le aplici. Mai ales când vezi CVE-uri marcate ca exploited in the wild sau listate în KEV.
Dacă rulezi browsere, containere, mașini virtuale – oricare dintre contextele astea care presupun izolare – verifică că sandbox-urile sunt active, că politicile sunt stricte și că feature-urile pe care nu le folosești (gen vsock) sunt dezactivate.
Și mai ales, nu mai presupune că Linux e invulnerabil doar pentru că așa spune legenda.
Concluzie
Poate greșesc, dar mi se pare că 2025 arată destul de clar: kernel-ul Linux e o țintă activă, vulnerabilitățile apar în rafală și atacatorii știu exact unde să lovească – în barierele de izolare. Sandbox-uri, containere, mașini virtuale – toate presupun că kernel-ul ține securitatea. Când kernel-ul cedează, cade totul.
Dacă în urmă cu câțiva ani Linux era rulat doar pe calculatoarele unor freakies, acum se află în spatele celor mai importante sisteme de operare și tehnologii pe care le folosim, fără excepție.
Serverele care deservesc site-urile pe care intri zilnic? Linux.
Infrastructura cloud care rulează aplicațiile tale preferate? Linux.
Telefoanele Android? Linux.
De aici și miza – când atacatorii găsesc o fisură în kernel, impactul nu mai e limitat la câteva servere obscure, ci se propagă peste miliarde de dispozitive.
Rămâne de văzut dacă volumul de patch-uri va ține pasul cu volumul de CVE-uri. Deocamdată, cel mai sigur e să nu lași sistemul neactualizat și să nu mai crezi în mituri.
