Setelah laporan awal tentang kerentanan pertama pada kode Rust kernel Linux, analisis lebih dalam terhadap CVE-2025-68260 pada modul Binder berbasis Rust mengungkap kondisi race dalam penanganan daftar data yang menyebabkan korupsi memori dan crash sistem. Patch terperinci tersedia di kernel 6.18.1 dan 6.19-rc1.
Diidentifikasi dalam implementasi Rust dari mekanisme komunikasi antar-proses (IPC) Binder—yang baru-baru ini ditulis ulang untuk Android di drivers/android/binder/node.rs—cacat ini (CVE-2025-68260) berpusat pada kondisi race di fungsi Node::release.
Masalah muncul ketika kunci diperoleh untuk mengakses daftar terhubung bersama, item dipindahkan ke tumpukan lokal sementara, tetapi kunci dilepaskan terlalu dini—sebelum memproses dan mengiterasi item secara penuh. Jendela ini memungkinkan akses thread kernel bersamaan ke penunjuk prev/next, menyebabkan korupsi memori, panic kernel, reboot tak terduga, gangguan layanan, dan kesalahan seperti kernel oops di log.
Diperkenalkan di kernel 6.18 melalui commit pembaruan Binder yang melewatkan sinkronisasi, hal ini meningkatkan risiko bagi sistem Android dan server yang bergantung pada Binder.
Pemelihara kernel dengan cepat menambal di 6.18.1 dan 6.19-rc1. Perbarui ke kernel stabil terbaru untuk perlindungan penuh; patch upstream berfungsi sebagai perbaikan sementara untuk lingkungan kritis.
