CISA добавила в свой каталог KEV сразу две активно эксплуатируемые уязвимости Android и Linux. Для федеральных ведомств США дедлайн жёсткий — до 5 июня либо поставить исправления, либо перестать использовать затронутое ПО; для всех остальных это тоже сигнал без права на долгую раскачку, особенно если в компании есть Android-парк и контейнерные нагрузки на Linux.
Речь идёт о CVE-2025-48595 в Android Framework и CVE-2022-0492 в ядре Linux, сообщает BleepingComputer. Первая проблема получила высокий уровень серьёзности и связана с integer overflow, который может привести к повышению привилегий. По данным Google, баг затрагивает Android 14, 15 и 16, не требует действий со стороны пользователя и уже может использоваться в ограниченных целевых атаках. Подробностей о самих инцидентах компания не раскрыла, что обычно означает неприятную, но уже знакомую отрасли картину: уязвимость светится в реальном мире раньше, чем рынок успевает нормально переварить технические детали.
Для Android история особенно неприятна из-за сочетания трёх факторов. Во-первых, это компонент Framework, то есть речь не о каком-нибудь экзотическом приложении, а о системном уровне. Во-вторых, эксплуатация не требует взаимодействия с пользователем, а значит, привычная надежда на то, что сотрудник хотя бы не нажмёт не ту кнопку, здесь не работает. В-третьих, исправление уже выпущено в июньских наборах патчей Google с уровнями безопасности 2026-06-01 и 2026-06-05. Иными словами, окно для дискуссий короткое: если ваши устройства получают обновления быстро, их надо ставить; если парк зависит от вендоров, операторов или кастомной прошивки, стоит сразу проверить, кто и когда реально доставит фиксы, а не ограничиваться красивой галочкой в MDM.
Вторая уязвимость, CVE-2022-0492, старше по идентификатору, но от этого не менее опасна. CISA включила её в KEV как активно эксплуатируемую проблему повышения привилегий в Linux kernel. Уязвимость находится в функции cgroup_release_agent_write() подсистемы cgroups v1 и связана с недостаточными проверками аутентификации. Практический смысл для ИБ и платформенных команд простой: локальный атакующий может обойти изоляцию пространств имён, повысить привилегии и, при определённых условиях, вырваться из контейнера на хост с root-доступом. Такой сценарий давно считается одним из самых неприятных для инфраструктуры, потому что ломает базовое предположение многих команд: контейнер не равен песочнице, если его запускали с лишними правами и устаревшей конфигурацией.
По прошлым разборам Aqua Security и Palo Alto Networks, основной риск по CVE-2022-0492 сосредоточен в контейнерных средах с cgroups v1, особенно если контейнерам выдали повышенные capabilities. Это важная деталь не только для security-инженеров, но и для тех, кто отвечает за платформу, DevOps и внутренние developer platforms. Формально уязвимость затрагивает несколько веток ядра — от 2.6 до 4.20, а также от 5.5 до 5.17, а исправления доступны в версиях 4.9.301+, 4.14.266+, 4.19.229+, 5.4.177+, 5.10.97+, 5.15.20+, 5.16.6+ и 5.17-rc3+. На практике это означает, что проверять надо не абстрактный «Linux где-то в компании», а конкретные хосты, node pools, образы, настройки рантайма и то, используется ли у вас cgroups v1 по историческим причинам. В 2026 году выяснить, что старый режим живёт в проде «потому что так было всегда», всё ещё проще, чем хотелось бы.
Само попадание в KEV — уже не бюрократическая формальность, а индикатор того, что атаки подтверждены и откладывать патчинг опасно. Для американских федеральных агентств это привязано к директиве BOD 22-01: либо применяешь обновления и смягчающие меры, либо выводишь затронутое ПО из эксплуатации. CISA установила дедлайн на 5 июня. Для коммерческого сектора такой приказ не действует, но каталог KEV давно работает как вполне прагматичная очередь на patch priority. Если уязвимость там появилась, спорить о том, «насколько теоретичен риск», уже поздно. Отдельно показательно, что ни одна из двух записей пока не помечена как используемая вымогательскими группами. Это не делает ситуацию мягче; скорее говорит о том, что перед нами не массированный ransomware-хайп, а более точечная, но оттого не менее рабочая эксплуатация.
Для русскоязычной IT-аудитории здесь сразу несколько прикладных выводов. Разработчикам мобильных продуктов и тем, кто поддерживает корпоративные Android-устройства, стоит проверить цепочку доставки июньских патчей и реальное покрытие по версиям 14–16. Платформенным и SRE-командам имеет смысл отдельно посмотреть на Linux-хосты под контейнерами, конфигурации cgroups и наборы capabilities у контейнеров, особенно в старых кластерах и самосборных средах. ИБ-службам — сверить KEV с внутренним реестром активов и не считать старую CVE автоматически «отработанной» только потому, что она известна с 2022 года. История с CVE-2022-0492 ещё раз напоминает простую вещь: срок жизни уязвимости в инфраструктуре измеряется не датой публикации, а датой фактического исправления на каждом хосте.
Главный вопрос теперь не в том, появятся ли новые записи в KEV по Android и Linux, а в том, сколько компаний всё ещё живут с медленным циклом обновлений там, где атакующие уже работают без такого ограничения. Чем больше корпоративный стек завязан на системные компоненты, контейнеры и длинные цепочки поставки патчей, тем меньше здесь места для ритуального «запланируем на следующий спринт».