官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
2025年8月9日 —— Linux内核中发现编号为CVE-2025-38236的高危漏洞,攻击者可利用该漏洞从Linux系统的Chrome渲染器沙箱内实现权限提升。Google Project Zero研究员Jann Horn发现该漏洞影响Linux 6.9及以上版本内核,源于UNIX域套接字中鲜为人知的MSG_OOB(带外数据)功能。这一发现揭示了冷门内核功能带来的安全风险,同时暴露出浏览器沙箱防护机制的缺陷。
MSG_OOB漏洞技术分析
该漏洞最早在6月初的代码审计中被发现,其根源可追溯至2021年Linux 5.15版本引入的MSG_OOB实现缺陷。虽然除特定Oracle产品外该功能极少使用,但MSG_OOB在支持UNIX套接字的内核中默认启用,且由于未过滤系统调用标志,Chrome渲染器沙箱可访问此功能。
该漏洞会导致释放后使用(UAF)问题。Horn证实,通过简单的套接字操作序列即可触发该漏洞,攻击者可能借此操控内核内存获取更高权限。目前Linux内核已发布补丁,Chrome浏览器也已在渲染器沙箱中屏蔽MSG_OOB消息以缓解风险。
根据Google Project Zero漏洞追踪系统的详细记录,Horn构建的漏洞利用链展示了攻击者如何在x86-64架构的Debian Trixie系统上,从Chrome渲染器沙箱内的原生代码执行升级至内核级控制。通过利用UAF漏洞,攻击者建立读取原语将任意内核内存复制至用户空间,从而绕过用户拷贝加固限制。该技术通过将释放的内存重新分配为管道页或内核栈,结合页表操作和mprotect()延迟注入,实现精确的内存破坏。值得注意的是,攻击还利用了Debian的CONFIG_RANDOMIZE_KSTACK_OFFSET安全特性,将本应作为防护措施的栈随机化机制转化为内存目标对齐的工具。
模糊测试与沙箱设计的挑战
Horn最初是在审查新内核功能时发现该漏洞,随后Google的syzkaller模糊测试工具在2024年8月捕获了相关问题。首个漏洞仅需6个系统调用即可触发,而Horn发现的第二个更复杂漏洞需要8个系统调用,这反映出模糊测试工具在探索套接字缓冲区(SKB)等复杂内核数据结构时面临的困难。Horn建议模糊测试工具可针对特定内核子系统进行优化,以更有效发现此类漏洞。
该漏洞利用过程还暴露出Chrome Linux渲染器沙箱中可访问的广泛内核接口,包括匿名虚拟内存区域(VMA)、UNIX套接字、管道以及sendmsg()和mprotect()等系统调用。其中多数接口与渲染器功能无关,却徒增攻击面。此前涉及futex()、memfd_create()和pipe2()的Chrome漏洞同样证明,沙箱中暴露的冷门内核功能可能带来安全风险。
Horn的研究还对随机化等概率性防护措施的有效性提出质疑——当攻击者具备任意读取原语时,通过反复检测随机化结果即可绕过诸如"每系统调用栈随机化"等防护机制。这一发现呼吁实施更严格的沙箱限制,并重新评估向非特权进程开放的内核功能。Horn表示将在后续报告中深入分析Chrome的Linux渲染器沙箱机制。建议Linux用户及时安装最新内核补丁,开发者则应严格审查核心系统接口中的非主流内核功能。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)