Уязвимость в ядре Linux, позволяющая обойти sendbox-изоляцию Chrome

11.08.2025 18:51

Исследователи безопасности из компании Google выявили в ядре Linux уязвимость (CVE-2025-38236), позволяющую повысить свои привилегии в системе. Среди прочего уязвимость даёт возможность обойти механизм sandbox-изоляции, применяемый в Google Chrome, и добиться выполнения кода на уровне ядра при выполнении кода в контексте изолированного процесса рендеринга Chrome (например, при эксплуатации другой уязвимости в Chrome). Проблема проявляется начиная с ядра Linux 6.9 и устранена в обновлениях ядра Linux 6.1.143, 6.6.96, 6.12.36 и 6.15.5. Для загрузки доступен прототип эксплоита.

Уязвимость вызвана ошибкой в реализации флага MSG_OOB, который можно выставить для сокетов AF_UNIX. Флаг MSG_OOB ("out-of-band") позволяет прикрепить дополнительный байт к отправляемым данным, который получатель может прочитать до получения остальных данных. Данный флаг был добавлен в ядре Linux 5.15 по запросу Oracle и в прошлом году предлагался для перевода в разряд устаревших, как не получивший широкого распространения.

В реализации sandbox-окружении Chrome разрешены операции с UNIX-сокетами и системные вызовы send()/recv(), в которых флаг MSG_OOB допускался наряду c другими опциями и не был отдельно отфильтрован. Ошибка в реализации MSG_OOB позволяла добиться обращения к памяти после её освобождения (use-after-free) после выполнения определённой последовательности системных вызовов:


   char dummy;
   int socks[2];
   socketpair(AF_UNIX, SOCK_STREAM, 0, socks);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, MSG_OOB);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, MSG_OOB);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, 0);
   recv(socks[0], &dummy, 1, MSG_OOB);

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/63710-kernel

Ключевые слова: kernel, chrome

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (31)

1.1, Аноним (1), 19:02, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+9 +/–
>Уязвимость в ядре Linux, позволяющая обойти sendbox-изоляцию Chrome Может всё же sadbox?

2.2, дАнон (?), 19:06, 11/08/2025 [^] [^^] [^^^] [ответить]	+7 +/–
может всё же sandbox?

2.4, Аноним (4), 19:10, 11/08/2025 [^] [^^] [^^^] [ответить]	+5 +/–
Грустный ящик? Да, похоже на то.

2.16, Аноним (16), 19:58, 11/08/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Маркиз де Сад?

2.23, тоже Аноним (ok), 20:42, 11/08/2025 [^] [^^] [^^^] [ответить]	+3 +/–
Все правильно написано. Телеметрия же, истинно sendbox.

1.3, Аноним (3), 19:07, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Останется ли уязвимость, если у файла chrome-sandbox отобрать suid бит?

2.6, Аноним (6), 19:13, 11/08/2025 Скрыто ботом-модератором [к модератору]	–3 +/–

2.24, Аноним (24), 20:50, 11/08/2025 [^] [^^] [^^^] [ответить]	+/–
А ты налей и отойди.

1.5, Аноним (5), 19:13, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>использовался только в продуктах Oracle Хаха классика! Опять корпы ядро портят, уязвимости приносят. Вообще не понимаю зачем подобное нужно было тащить в менлайн - вот Ораклам гужно, пусть в своих локальных ядрах и пользуются. Думаю если провести тщательный анализ, окажется что таких фичей, нужных только паре человек - с пол ядра. А ведь все это ненужное нужно еще и поддерживать, а как было бы хорошо снести весь этот зоопарк.

2.8, Аноним (-), 19:20, 11/08/2025 [^] [^^] [^^^] [ответить]

+1 +/–

> Опять корпы ядро портят, уязвимости приносят.
> Вообще не понимаю зачем подобное нужно было тащить в менлайн - вот Ораклам
> гужно, пусть в своих локальных ядрах и пользуются.

Ты совсем попух? На Platinum спонсора быкуешь?
Как им нужно - так и будет. А вот вы будете жрать то ядро, которое нужно корпам.
Ну или пишите сами.

> А ведь все это ненужное нужно еще и поддерживать

Вот ты наверное и поддерживаешь. Аж перетрудился.

3.18, Аноним (18), 20:20, 11/08/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Когда на сердце тяжесть И холодно в груди. К ступеням Опеннета Ты в сумерки приди, Где без питья и хлеба, Забытые в веках, Аноны держат Линукс На каменных руках. Держать его махину Не мед - со стороны. Напряжены их спины, Колени сведены. Их тяжкая работа Важней иных работ: Из них ослабни кто-то - И Линукс упадет.

4.20, Аноним (20), 20:30, 11/08/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Да когда уже вас фабами отутюжат, стихотворцев фиговых...

1.7, Аноним (-), 19:17, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> Ошибка в реализации MSG_OOB позволяла добиться обращения к > памяти после её освобождения (use-after-free) Никогда такого не было... А не, было! Еще как было! Каждый раз одно и тоже. Ну ладно, не всегда одно и тоже, иногда за пределы буфера выходят :)

1.9, IZh. (?), 19:21, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> Проблема проявляется начиная с ядра Linux 6.9 и устранена в обновлениях ядра Linux 6.1.143, 6.6.96, ... Что-то тут не то.

2.11, Аноним (11), 19:26, 11/08/2025 [^] [^^] [^^^] [ответить]	–1 +/–
А бэкпортируют там чёрте что и чёрте как. Вот когда вейланд поломан на всех прошлых ветках ядер (включая лтс) тут можно забить и ничего бэкпортировать не нужно. Никто ни за что не в ответе в ядре.

3.22, НяшМяш (ok), 20:38, 11/08/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Что-то у иксолюбов уже крышу сносит. Какой ещё вяленый в ядре?

4.25, Аноним (11), 20:52, 11/08/2025 [^] [^^] [^^^] [ответить]

+/–

"drm/syncobj: fix DRM_SYNCOBJ_WAIT_FLAGS_WAIT_AVAILABLE" with commit hash 101c9f637efa1655f55876644d4439e552267527.

"drm/syncobj: handle NULL fence in syncobj_eventfd_entry_func" with commit hash 2aa6f5b0fd052e363bb9d4b547189f0bf6b3d6d3.

2.12, Аноним (-), 19:26, 11/08/2025 [^] [^^] [^^^] [ответить]

+/–

>> Проблема проявляется начиная с ядра Linux 6.9 и устранена в обновлениях ядра Linux 6.1.143, 6.6.96, ...
> Что-то тут не то.

Бекпорты фиксов.
Есть клиенты у которых старые ядра, и которые готовы платить за бекпорт.
Например Ораклу.

Посмотри на дату этой новости
opennet.ru/opennews/art.shtml?num=61268
29.05.2024 19:16

И вот тебе цитата
"Помимо пакета с ядром из состава RHEL (на базе ядра 4.18) в Oracle Linux предложено собственное ядро Unbreakable Enterprise Kernel 7 Update 2, основанное на ядре Linux 5.15 ..."

3.13, Аноним (-), 19:30, 11/08/2025 [^] [^^] [^^^] [ответить]	–1 +/–
> Бекпорты фиксов. А зачем фикс бекпортить, если "проблема проявляется начиная с ядра Linux 6.9"? Может они вначале забекпортили баг, а сейчас будут бекпортить фикс?))

1.10, Аноним (-), 19:23, 11/08/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+1 +/–

1.14, Rev (ok), 19:34, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Хорошее напоминание о том, что Linux - ре-ше-то.

1.15, Аноним (15), 19:49, 11/08/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

1.17, Yadro (?), 20:18, 11/08/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

1.19, Аноним (19), 20:27, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Боромир...Раст бы не дал флаг выставить!

2.28, Аноним (28), 21:09, 11/08/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Раст бы не дал написать приложение длиннее привет мир.

3.29, Минона (ok), 21:17, 11/08/2025 [^] [^^] [^^^] [ответить]	+/–
В система76 целый десктоп пишут на расте.

4.31, Аноним (31), 21:42, 11/08/2025 [^] [^^] [^^^] [ответить]	+/–
> пишут ключевое слово!

1.21, Аноним (21), 20:38, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Когда ж уже починят это use-after-free. Ну невозможно за всякими там флагами уследить и их реализациями. надо на корню решать

2.26, Аноним (26), 20:56, 11/08/2025 [^] [^^] [^^^] [ответить]	+/–
Оне не так уж часто и встречаются, а подавляющую часть времени софт просто работает.

2.30, Chel (?), 21:21, 11/08/2025 Скрыто ботом-модератором [к модератору]	+/–

1.27, Аноним (28), 21:08, 11/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Какая же "неожиданная" "ошибка"

игнорирование участников | лог модерирования

Добавить комментарий

Текст: