Source: Google Project Zero — Dans un billet technique, un chercheur démontre une chaîne d’exploit complète contre CVE-2025-38236, montrant comment passer du code dans le renderer de Chrome à un accès noyau sur Linux ≥ 6.9. L’article met en avant les risques de sécurité liés à l’exposition de fonctionnalités noyau peu utilisées dans des environnements sandboxés.
La faille est une use-after-free dans l’implémentation AF_UNIX MSG_OOB du noyau Linux, due à une gestion incorrecte des buffers out-of-band dans la fonction manage_oob(), créant des pointeurs pendants lorsque plusieurs SKB de taille zéro coexistent dans les files de réception. Les versions affectées mentionnées sont Linux ≥ 6.9.
La démonstration d’attaque montre une élévation de privilèges depuis le sandbox du renderer Chrome jusqu’au noyau en combinant plusieurs primitives et observations de l’état mémoire: lecture arbitraire pour observer l’état du SLUB allocator, ciblage de pile malgré CONFIG_RANDOMIZE_KSTACK_OFFSET, utilisation de délais via mprotect() pour caler les conditions de course, et surchargement des tables de pages afin de mapper de la mémoire noyau en écriture dans l’espace utilisateur. L’approche s’appuie aussi sur la manipulation de structures per-CPU, la prédiction de l’état du page allocator, et un chaînage inter-sous-systèmes de primitives.
Impact et portée: la preuve de concept souligne le risque élevé lié à l’activation de fonctionnalités noyau ésotériques dans des environnements sandboxés, en révélant une surface d’attaque propice aux techniques avancées d’exploitation du noyau. 🐞🔓
IOCs et TTPs:
- IOCs: aucun indicateur technique partagé.
- TTPs: use-after-free (AF_UNIX MSG_OOB), observation d’état du SLUB via lecture arbitraire, ciblage de la pile avec CONFIG_RANDOMIZE_KSTACK_OFFSET, timing via mprotect(), écriture des tables de pages, manipulation per-CPU, prédiction de l’état du page allocator, chaînage de primitives inter-sous-systèmes.
Conclusion: il s’agit d’une publication de recherche présentant une analyse technique approfondie et une démonstration d’exploit visant à documenter la vulnérabilité, ses mécanismes et ses implications.
🔗 Source originale : https://googleprojectzero.blogspot.com/2025/08/from-chrome-renderer-code-exec-to-kernel.html