Linux 커널 취약점으로 인해 Chrome 샌드박스 격리 우회 가능

구글 보안 연구원들이 리눅스 커널에서 권한 상승을 허용하는 취약점(CVE-2025-38236)을 발견했습니다. 이 취약점은 구글 크롬에서 사용되는 샌드박스 격리 메커니즘을 우회하여 격리된 크롬 렌더링 프로세스(예: 크롬의 다른 취약점을 악용하는 경우)에서 코드를 실행할 때 커널 수준의 코드 실행을 가능하게 합니다. 이 문제는 리눅스 커널 6.9부터 발생했으며, 리눅스 커널 업데이트 6.1.143, 6.6.96, 6.12.36, 6.15.5에서 수정되었습니다. 이 익스플로잇의 프로토타입은 다운로드할 수 있습니다.

이 취약점은 AF_UNIX 소켓에 설정할 수 있는 MSG_OOB 플래그의 구현 오류로 인해 발생합니다. MSG_OOB("대역외") 플래그는 전송되는 데이터에 추가 바이트를 첨부할 수 있도록 허용하며, 수신자는 나머지 데이터를 수신하기 전에 이 바이트를 읽을 수 있습니다. 이 플래그는 Oracle의 요청으로 Linux 5.15 커널에 추가되었으며, 널리 사용되지 않아 작년에 지원 중단이 제안되었습니다.

Chrome의 샌드박스 구현은 UNIX 소켓 작업과 send()/recv() 시스템 호출을 허용했습니다. 이 경우 MSG_OOB 플래그는 다른 옵션과 함께 허용되며 별도로 필터링되지 않았습니다. MSG_OOB 구현의 버그로 인해 특정 시스템 호출 시퀀스를 실행한 후 해제 후 사용(use-after-free) 조건이 발생할 수 있었습니다. char dummy; int socks[2]; socketpair(AF_UNIX, SOCK_STREAM, 0, socks); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, 0); recv(socks[0], &dummy, 1, MSG_OOB);

출처 : opennet.ru