The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в ядре Linux, позволяющая обойти sandbox-изоляцию Chrome

11.08.2025 18:51

Исследователи безопасности из компании Google выявили в ядре Linux уязвимость (CVE-2025-38236), позволяющую повысить свои привилегии в системе. Среди прочего уязвимость даёт возможность обойти механизм sandbox-изоляции, применяемый в Google Chrome, и добиться выполнения кода на уровне ядра при выполнении кода в контексте изолированного процесса рендеринга Chrome (например, при эксплуатации другой уязвимости в Chrome). Ошибка устранена в обновлениях ядра Linux 6.1.143, 6.6.96, 6.12.36 и 6.15.5, но эксплуатация уязвимости возможна только начиная с ядра Linux 6.9. Для загрузки доступен прототип эксплоита.

Уязвимость вызвана ошибкой в реализации флага MSG_OOB, который можно выставить для сокетов AF_UNIX. Флаг MSG_OOB ("out-of-band") позволяет прикрепить дополнительный байт к отправляемым данным, который получатель может прочитать до получения остальных данных. Данный флаг был добавлен в ядре Linux 5.15 по запросу Oracle и в прошлом году предлагался для перевода в разряд устаревших, как не получивший широкого распространения.

В реализации sandbox-окружения Chrome разрешены операции с UNIX-сокетами и системные вызовы send()/recv(), в которых флаг MSG_OOB допускался наряду c другими опциями и не был отдельно отфильтрован. Ошибка в реализации MSG_OOB позволяла добиться обращения к памяти после её освобождения (use-after-free) после выполнения определённой последовательности системных вызовов: 


   char dummy;
   int socks[2];
   socketpair(AF_UNIX, SOCK_STREAM, 0, socks);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, MSG_OOB);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, MSG_OOB);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, 0);
   recv(socks[0], &dummy, 1, MSG_OOB);


  1. Главная ссылка к новости (https://googleprojectzero.blog...)
  2. OpenNews: Удалённая уязвимость в модуле ksmbd ядра Linux, выявленная при помощи AI
  3. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии через VSOCK
  4. OpenNews: Инженер из AMD предложил упростить в ядре Linux управление блокировками уязвимостей CPU
  5. OpenNews: 0-day уязвимость в драйвере n_gsm, позволяющая выполнить код на уровне ядра Linux
  6. OpenNews: Уязвимости в ядре Linux, позволяющие поднять свои привилегии через nf_tables и ksmbd
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/63710-kernel
Ключевые слова: kernel, chrome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (3), 19:07, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Останется ли уязвимость, если у файла chrome-sandbox отобрать suid бит?
     
     
  • 2.6, Аноним (6), 19:13, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• –7 +/
    А ты проверь и отпишись.
     
  • 2.48, Аноним (48), 01:30, 12/08/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Да, ошибка на стороне ядра.

    И в современных системах этот suid бинарник как правило вообще уже не используется. Вместо него давно используется механизм CLONE_NEWUSER, не требующий рут прав.

    Хотя в самом CLONE_NEWUSER тоже уязвимости находили, но это уже совсем другая история.

     

  • 1.5, Аноним (5), 19:13, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    >использовался только в продуктах Oracle

    Хаха классика! Опять корпы ядро портят, уязвимости приносят.
    Вообще не понимаю зачем подобное нужно было тащить в менлайн - вот Ораклам гужно, пусть в своих локальных ядрах и пользуются.
    Думаю если провести тщательный анализ, окажется что таких фичей, нужных только паре человек - с пол ядра.
    А ведь все это ненужное нужно еще и поддерживать, а как было бы хорошо снести весь этот зоопарк.

     
     
  • 2.32, Аноним (32), 22:10, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > зачем подобное нужно было тащить в менлайн

    OOB - часть BSD Socket API. Его чтобы выкинуть нужно сначала книжки переписать. Что-то из серии strcpy заменить на strcpy_s.

     
  • 2.51, anonymos (?), 07:40, 12/08/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ни кто, ни одному анониму с опеннета, не запретит собрать ядро, в котором будут выпилены все ненужности )))
     

  • 1.7, Аноним (-), 19:17, 11/08/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• –6 +/
     
  • 1.9, IZh. (?), 19:21, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > Проблема проявляется начиная с ядра Linux 6.9 и устранена в обновлениях ядра Linux 6.1.143, 6.6.96, ...

    Что-то тут не то.

     
     
  • 2.11, Аноним (11), 19:26, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А бэкпортируют там чёрте что и чёрте как. Вот когда вейланд поломан на всех прошлых ветках ядер (включая лтс) тут можно забить и ничего бэкпортировать не нужно. Никто ни за что не в ответе в ядре.
     
     
  • 3.22, НяшМяш (ok), 20:38, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Что-то у иксолюбов уже крышу сносит. Какой ещё вяленый в ядре?
     
     
  • 4.25, Аноним (11), 20:52, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
        "drm/syncobj: fix DRM_SYNCOBJ_WAIT_FLAGS_WAIT_AVAILABLE" with commit hash 101c9f637efa1655f55876644d4439e552267527.

        "drm/syncobj: handle NULL fence in syncobj_eventfd_entry_func" with commit hash 2aa6f5b0fd052e363bb9d4b547189f0bf6b3d6d3.

     
  • 2.12, Аноним (-), 19:26, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Проблема проявляется начиная с ядра Linux 6.9 и устранена в обновлениях ядра Linux 6.1.143, 6.6.96, ...
    > Что-то тут не то.

    Бекпорты фиксов.
    Есть клиенты у которых старые ядра, и которые готовы платить за бекпорт.
    Например Ораклу.

    Посмотри на дату этой новости
    opennet.ru/opennews/art.shtml?num=61268
    29.05.2024 19:16

    И вот тебе цитата
    "Помимо пакета с ядром из состава RHEL (на базе ядра 4.18) в Oracle Linux предложено собственное ядро Unbreakable Enterprise Kernel 7 Update 2, основанное на ядре Linux 5.15 ..."

     
     
  • 3.13, Аноним (-), 19:30, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > Бекпорты фиксов.

    А зачем фикс бекпортить, если "проблема проявляется начиная с ядра Linux 6.9"?
    Может они вначале забекпортили баг, а сейчас будут бекпортить фикс?))

     
     
  • 4.33, Bohdan (??), 22:16, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Фичу могли бекпортировать и на старые ядра
     
     
  • 5.43, Аноним (43), 23:59, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Но не в мейнлайне же бекпортировать в минорную версию. Можно понять, когда какой-то там ещё Android.
     

  • 1.17, Yadro (?), 20:18, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    Потому как всех программистов учат давать понятные имена для констант, переменных и функций, а потом попадается в коде MSG_OOB и гадай то-ли это "out-of-band", то-ли "Oracle-old-bad".
     
  • 1.21, Аноним (21), 20:38, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Когда ж уже починят это use-after-free. Ну невозможно за всякими там флагами уследить и их реализациями. надо на корню решать
     
     
  • 2.26, Аноним (26), 20:56, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Оне не так уж часто и встречаются, а подавляющую часть времени софт просто работает.
     
     
  • 3.36, Аноним (36), 22:29, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > а подавляющую часть времени софт просто работает.

    Иногда просто и тихо портя пользовательские данные ...

     

  • 1.27, Аноним (27), 21:08, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +7 +/
    Какая же "неожиданная" "ошибка"
     
     
  • 2.44, Аноним (44), 23:59, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    да ещё заказанная ораклом
     

  • 1.37, dannyD (?), 22:42, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >>Проблема проявляется начиная с ядра Linux 6.9 и устранена в обновлениях ядра Linux 6.1.143, 6.6.96, 6.12.36 и 6.15.5.

    мдя, как там поживает убунта LTS на EOL ядре 6.14 ?

     
     
  • 2.38, Аноним (38), 22:53, 11/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Команда скриптологов решила пойти своим ядром...
     

  • 1.39, Аноним (39), 23:07, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    - Почему XXXX не обрабатывается? Нам кажется что это неправильно.
    - 10 лет назад просили сделать, с тех пор так и осталось.
     
  • 1.42, Аноним (42), 23:46, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > начиная с ядра Linux 6.9

    точно 6.9 ?

     
     
  • 2.52, Аноним (52), 07:51, 12/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    "I reviewed the implementation of MSG_OOB, and discovered a security bug (CVE-2025-38236) affecting Linux >=6.9 .....it was marked as fixing a bug introduced by the original MSG_OOB implementation, but luckily was actually only backported to Linux 6.9.8, so the buggy fix did not land in older LTS kernel branches"

    "Fixed in these stable releases on 2025-07-06 (note that 6.12 and 6.15 are the only stable kernels where this actually has security impact):

        6.1.143
        6.6.96
        6.12.36
        6.15.5"

     

  • 1.46, Аноним (46), 00:20, 12/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    как хорошо что в 12 дебиане безопасно, а я такой лентяй на 13тый еще не обновился...
     
  • 1.49, Syndrome (ok), 03:35, 12/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Какая же глупая маскировка бекдора. Линус как будто держит нас за дураков.
     
     
  • 2.50, Аноним (50), 06:53, 12/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Тут дилемма. Либо Вы правы, либо он не контролирует ситуацию. Третьего не дано. Он вряд ли за второй вариант. Остается - Вы правы.
     
  • 2.53, Аноним (53), 08:02, 12/08/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Как будто Линус знает все уязвимости в ядре, серьёзно?
     

  • 1.54, Аноним (53), 08:03, 12/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    А мне вот интересно, почему никогда не называют имен тех кто данную CVE допустил?
     
     
  • 2.55, Аноним (55), 08:36, 12/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Это не соответствует духу CoC.
     
  • 2.56, fa (??), 09:02, 12/08/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    а ещё и адрес проживания его и родственников, чтоб фанатики растолюбы приходили с ржавыми вилами, факелами, кричали доколе мы будем терпеть ваши юзе афтер фри и буфера оферфловы?
     
     
  • 3.61, Аноним (-), 12:16, 12/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > кричали доколе мы будем терпеть ваши юзе афтер фри и буфера оферфловы

    А что им это сейчас мешает делать?

    На самом деле чтобы "сообщество" знало своих героев.
    Чтобы можно была их ставить в пример детям "Вот! Смотрите, это Настоящий™ Сишник! У него целых N лет 6ыdlокодинга на лучшем йазычке из 70х. Благодаря его бракоделию в ядре столько-то лет жила дыра. Хотите детки быть как он?"

     
  • 2.57, Аноним (44), 09:45, 12/08/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Потому же, почему 6 августа не называют того, кто тогда допустил ту "CVE"
     
     
  • 3.60, Аноним (-), 12:13, 12/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Потому же, почему 6 августа не называют того, кто тогда допустил ту "CVE"

    А зачем? Их уже наградили N лет назад.
    Сейчас их вспоминать уже не стоит, мавр дело сделал.

     

  • 1.58, Аноним (-), 11:13, 12/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Сишники опять не смогли в память?
    Не то чтобы я был сильно удивлен... но не задумывались ли они что-то с этим делать?
    А то 0-day дырища в ядре как-то совсем печально.
     
  • 1.59, Аноним (59), 11:54, 12/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Сейчас опять будут сказки, что сишка - великолепный современный язычок, и больше ничего для счастья не нужно! Мол, код ядра линукса огромен - всё равно будут уязвимости, а сишка и ни при чём!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру