Investigadors de seguretat de Google han identificat una vulnerabilitat (CVE-2025-38236) al nucli de Linux que permet l'escalada de privilegis. Entre altres coses, la vulnerabilitat permet eludir el mecanisme d'aïllament de sandbox utilitzat a Google Chrome i aconseguir l'execució de codi a nivell de nucli en executar codi en el context d'un procés de renderització aïllat de Chrome (per exemple, en explotar una altra vulnerabilitat a Chrome). El problema apareix a partir del nucli de Linux 6.9 i es va solucionar a les actualitzacions del nucli de Linux 6.1.143, 6.6.96, 6.12.36 i 6.15.5. Un prototip de l'exploit està disponible per a la descàrrega.
La vulnerabilitat està causada per un error d'implementació en el senyalador MSG_OOB, que es pot definir per a sòcols AF_UNIX. El senyalador MSG_OOB ("fora de banda") permet adjuntar un byte addicional a les dades que s'envien, que el receptor pot llegir abans de rebre la resta de les dades. Aquest senyalador es va afegir al nucli de Linux 5.15 a petició d'Oracle i es va proposar que quedés obsolet l'any passat perquè no s'utilitzava gaire.
La implementació de sandbox de Chrome permetia operacions de sòcol UNIX i crides de sistema send()/recv() on es permetia el senyalador MSG_OOB juntament amb altres opcions i no es filtrava per separat. Un error a la implementació de MSG_OOB permetia que es produís una condició d'ús després de la llibertat després d'executar una determinada seqüència de crides de sistema: char dummy; int socks[2]; socketpair(AF_UNIX, SOCK_STREAM, 0, socks); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); recv(mitjons[0], &dummy, 0, MSG_OOB);
Font: opennet.ru
