Código HTML do Conteúdo
Post: Vulnerabilidade crítica do kernel do Linux permite que invasores obtenham controle total no nível do kernel do Chrome Sandbox
<div>
<div>
<p><em>9 de agosto de 202</em>5: Uma grave vulnerabilidade de segurança no kernel do Linux, apelidada de CVE-2025-38236, foi descoberta pelo pesquisador do Google Project Zero, Jann Horn, expondo um caminho para invasores que vão desde a execução de código nativo na sandbox do renderizador do Chrome até o controle total no nível do kernel em sistemas Linux.</p>
<p>A falha, ligada ao recurso de MSG_OOB obscuro nos soquetes de domínio UNIX, afeta os kernels Linux versão 6.9 e superior, levantando alarmes sobre a segurança das sandboxes do navegador e os riscos das funcionalidades esotéricas do kernel.</p>
<h2 id="h-msg-oob-bug-opens-door-to-kernel-exploitation"><strong>MSG_OOB bug abre portas para a exploração do kernel</strong></h2>
<p>Descoberta no início de junho durante uma revisão de código de um novo recurso do kernel Linux, a vulnerabilidade decorre da funcionalidade MSG_OOB (fora de banda) introduzida no Linux 5.15 em 2021.</p>
<p>Usado principalmente em aplicativos Oracle de nicho, <a href="https://www.gnu.org/software/libc/manual/html_node/Out_002dof_002dBand-Data.html" rel="noreferrer noopener" target="_blank">MSG_OOB</a> foi ativado por padrão em kernels que suportam soquetes de domínio UNIX e foi inadvertidamente acessível na sandbox do renderizador Linux do Chrome devido a sinalizadores de syscall não filtrados.</p>
<p>O bug aciona uma condição de uso após liberação (UAF), que Horn demonstrou que pode ser explorada com uma sequência direta de operações de soquete, permitindo que os invasores manipulem a memória do kernel e potencialmente obtenham privilégios elevados.</p>
<p>A exploração, <a href="https://googleprojectzero.blogspot.com/2025/08/from-chrome-renderer-code-exec-to-kernel.html" rel="noreferrer noopener nofollow" target="_blank">circunstanciado</a> no rastreador de bugs do Google Project Zero, mostra um ataque sofisticado a um sistema Debian Trixie executando a arquitetura x86-64.</p>
<p>Ao aproveitar um primitivo de leitura induzido por UAF, os invasores podem copiar memória kernel arbitrária para o espaço do usuário, ignorando as restrições de proteção de cópia do usuário.</p>
<p>A abordagem de Horn envolve a realocação de memória liberada como páginas de pipe ou pilhas de kernel, usando técnicas como manipulação de tabela de páginas e ponteiro mprotect() toOCB), que permanece pendente, levando a um <a href="https://gbhackers.com/chrome-uaf-process-vulnerabilities-exploited/" rel="noreferrer noopener" target="_blank">UAF</a> quando uma chamada RECV(…, MSG_OOB) subsequente acessa ele.</p>
<p>O sucesso do exploit depende do recurso CONFIG_RANDOMIZE_KSTACK_OFFSET do Debian, que randomiza os deslocamentos de pilha por syscall. </p>
<p>Horn transformou essa mitigação em uma vantagem, usando o primitivo de leitura para detectar alinhamentos de pilha ideais, permitindo a corrupção precisa da memória.</p>
<p>Desde então, o kernel do Linux foi corrigido e o Chrome atualizou sua sandbox para bloquear mensagens MSG_OOB, fechando esse vetor de ataque específico.</p>
<h2 id="h-sandbox-weaknesses-and-fuzzer-limitations-exposed"><strong>Pontos fracos do sandbox e limitações do fuzzer expostos</strong></h2>
<p>O bug inicial foi detectado pela ferramenta de fuzzing syzkaller do Google em agosto de 2024, exigindo seis syscalls para ser acionado, enquanto um problema relacionado e mais complexo encontrado por Horn precisava de oito.</p>
<p>Isso destaca o desafio que os fuzzers enfrentam ao navegar em estruturas de dados complexas do kernel, como buffers de soquete (SKBs).</p>
<p>Horn sugere aprimorar os fuzzers para se concentrar em subsistemas específicos do kernel para descobrir melhor essas vulnerabilidades, pois a probabilidade de atingir aleatoriamente a sequência de syscall adequada cai exponencialmente a cada chamada adicional.</p>
<p>A exploração também revela a extensa superfície de ataque na sandbox do renderizador Linux do Chrome, que expõe interfaces como VMAs anônimos, soquetes UNIX, pipes e syscalls como sendmsg() e mprotect(). Muitos deles são desnecessários para a funcionalidade do renderizador, aumentando o risco de exploração.</p>
<p>Vulnerabilidades anteriores do Chrome, incluindo aquelas envolvendo futex(), memfd_create() e pipe2(), ressaltam como recursos obscuros do kernel podem introduzir vulnerabilidades não intencionais quando expostos em sandboxes.</p>
<p>As descobertas de Horn também desafiam a eficácia de mitigações probabilísticas, como randomização de pilha por syscall contra invasores com recursos de leitura arbitrária, pois eles podem ser contornados verificando repetidamente os resultados da randomização.</p>
<p>O uso de mprotect() para atrasar operações copy_from_user() sugere ainda que restringir recursos como userfaultfd pode não mitigar totalmente esses riscos, pois métodos alternativos podem alcançar atrasos semelhantes.</p>
<p>Essa vulnerabilidade ressalta a necessidade de restrições de sandbox mais rígidas e uma reavaliação dos recursos do kernel expostos a processos sem privilégios.</p>
<p>Horn planeja realizar uma análise mais profunda da sandbox do renderizador Linux do Chrome em um relatório futuro.</p>
<p>Por enquanto, os usuários do Linux são incentivados a aplicar os patches mais recentes do kernel, e os desenvolvedores são encorajados a examinar os recursos esotéricos do kernel incorporados nas interfaces do sistema central para evitar explorações semelhantes.</p>
<p><strong><strong>Ache esta notícia interessante! Siga-nos no<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&gl=IN&ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google Notícias</a>,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>, &<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>para obter atualizações instantâneas!</strong></strong></p>
</div></div>