Безбедносните истражувачи од Google идентификуваа ранливост (CVE-2025-38236) во јадрото на Linux што овозможува ескалација на привилегиите. Меѓу другото, ранливоста овозможува заобиколување на механизмот за изолација на песочникот што се користи во Google Chrome и постигнување извршување на код на ниво на јадро при извршување на код во контекст на изолиран процес на рендерирање на Chrome (на пример, при експлоатација на друга ранливост во Chrome). Проблемот се појавува почнувајќи од јадрото на Linux 6.9 и беше поправен во ажурирањата на јадрото на Linux 6.1.143, 6.6.96, 6.12.36 и 6.15.5. Прототип на експлоатацијата е достапен за преземање.
Ранливоста е предизвикана од грешка во имплементацијата во ознаката MSG_OOB, која може да се постави за AF_UNIX сокети. Ознаката MSG_OOB („надвор од опсег“) овозможува дополнителен бајт да се прикачи на податоците што се испраќаат, што примачот може да го прочита пред да се примат останатите податоци. Ова ознака беше додадено во јадрото Linux 5.15 на барање на Oracle и беше предложено за застарување минатата година бидејќи не беше широко користено.
Имплементацијата на песочникот на Chrome дозволи операции со UNIX сокети и системски повици send()/recv() каде што ознаката MSG_OOB беше дозволена заедно со други опции и не беше посебно филтрирана. Грешка во имплементацијата MSG_OOB дозволи да се појави услов use-after-free по извршување на одредена низа системски повици: char dummy; int socks[2]; socketpair(AF_UNIX, SOCK_STREAM, 0, socks); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); send(socks[1], "A", 1, MSG_OOB); recv(socks[0], &dummy, 1, MSG_OOB); send(socks[0], "A", 0, MSG_OOB); recv(socks[1], &dummy, XNUMX, MSG_OOB); send(socks[XNUMX], "A", XNUMX, MSG_OOB); recv(socks[XNUMX], &dummy, XNUMX, MSG_OOB); recv(чорапи[XNUMX], &dummy, XNUMX, MSG_OOB);
Извор: opennet.ru
