Mae ymchwilwyr diogelwch o Google wedi nodi bregusrwydd (CVE-2025-38236) yng nghnewyllyn Linux sy'n caniatáu cynyddu breintiau. Ymhlith pethau eraill, mae'r bregusrwydd yn caniatáu osgoi'r mecanwaith ynysu blwch tywod a ddefnyddir yn Google Chrome a chyflawni gweithrediad cod ar lefel y cnewyllyn wrth weithredu cod yng nghyd-destun proses rendro Chrome ynysig (er enghraifft, wrth gamfanteisio ar fregusrwydd arall yn Chrome). Mae'r broblem yn ymddangos gan ddechrau gyda chnewyllyn Linux 6.9 ac fe'i trwsiwyd yn niweddariadau cnewyllyn Linux 6.1.143, 6.6.96, 6.12.36, a 6.15.5. Mae prototeip o'r camfanteisio ar gael i'w lawrlwytho.
Mae'r bregusrwydd yn cael ei achosi gan wall gweithredu yn y faner MSG_OOB, y gellir ei gosod ar gyfer socedi AF_UNIX. Mae'r faner MSG_OOB ("allan o'r band") yn caniatáu i beit ychwanegol gael ei atodi i'r data sy'n cael ei anfon, y gall y derbynnydd ei ddarllen cyn derbyn gweddill y data. Ychwanegwyd y faner hon yng nghnewyllyn Linux 5.15 ar gais Oracle a chynigiwyd ei diddymu y llynedd oherwydd nad oedd yn cael ei defnyddio'n eang.
Roedd gweithrediad blwch tywod Chrome yn caniatáu gweithrediadau soced UNIX a galwadau system send()/recv() lle caniatawyd y faner MSG_OOB ynghyd ag opsiynau eraill ac ni chafodd ei hidlo ar wahân. Roedd nam yn y gweithrediad MSG_OOB yn caniatáu i gyflwr defnyddio-ar-ôl-rhyddhau ddigwydd ar ôl gweithredu dilyniant penodol o alwadau system: char dummy; int socks[2]; socketpair(AF_UNIX, SOCK_STREAM, 0, socks); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], "A", 1, MSG_OOB); recv(socks[0], &dummy, 0, 1); derbyn(sanau[XNUMX], &ffic, XNUMX, MSG_OOB);
Ffynhonnell: opennet.ru
