Уязвимост в ядрото на Linux позволява заобикаляне на изолацията на пясъчник в Chrome

Изследователи по сигурността от Google са идентифицирали уязвимост (CVE-2025-38236) в ядрото на Linux, която позволява ескалация на привилегиите. Освен всичко друго, уязвимостта позволява заобикаляне на механизма за изолиране в пясъчник, използван в Google Chrome, и постигане на изпълнение на код на ниво ядро при изпълнение на код в контекста на изолиран процес на рендиране на Chrome (например при експлоатиране на друга уязвимост в Chrome). Проблемът се появява, започвайки с ядрото на Linux версия 6.9 и е отстранен в актуализациите на ядрото на Linux 6.1.143, 6.6.96, 6.12.36 и 6.15.5. Прототип на експлойта е достъпен за изтегляне.

Уязвимостта е причинена от грешка в имплементацията на флага MSG_OOB, който може да бъде зададен за AF_UNIX сокети. Флагът MSG_OOB („извън обхвата“) позволява към изпращаните данни да бъде прикачен допълнителен байт, който получателят може да прочете, преди да бъдат получени останалите данни. Този флаг беше добавен в ядрото на Linux 5.15 по искане на Oracle и беше предложен за отхвърляне миналата година, тъй като не беше широко използван.

Имплементацията на sandbox в Chrome позволяваше UNIX socket операции и системни извиквания send()/recv(), където флагът MSG_OOB беше разрешен заедно с други опции и не беше филтриран отделно. Грешка в имплементацията на MSG_OOB позволяваше възникването на условие „use-after-free“ след изпълнение на определена последователност от системни извиквания: char dummy; int socks[2]; socketpair(AF_UNIX, SOCK_STREAM, 0, socks); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); send(socks[0], "A", 0, MSG_OOB); recv(socks[1], &dummy, XNUMX, XNUMX); recv(чорапи[XNUMX], &dummy, XNUMX, MSG_OOB);

Източник: opennet.ru