• XSS.stack #1 – первый литературный журнал от юзеров форума

CVE-2025-6558

Отслеживать

m3xTa1nes

floppy-диск
Пользователь
Регистрация
02.04.2023
Сообщения
3
Реакции
3
Всем привет!

Кто-нибудь уже проводил технический анализ CVE-2025-6558?

По ограниченной публичной информации, уязвимость связана с проектом ANGLE, который выступает прослойкой между WebGL и графическими драйверами.

В связи с этим есть несколько важных вопросов:
  • Кто-нибудь делал patch diff между уязвимой и исправленной версией?
  • Известна ли точная причина бага (например, use-after-free при работе с буферами, type confusion или integer overflow)?
  • Есть ли подтверждение, что уязвимость может использоваться для выхода из песочницы или эскалации привилегий через взаимодействие с GPU-драйвером?
  • Кто-нибудь уже встречал PoC или технический разбор?
 
Сортировать по дате Сортировать по голосам
UAF (dangling‑pointer / stale‑resource) на стороне ANGLE, возникающий при повторном выделении VkBuffer/ID3D11Buffer, пока тот же буфер всё ещё привязан в качестве цели transform‑feedback и находится в активном рендер‑пассе.
  • Командный буфер GPU, запущенный glBeginTransformFeedback, продолжает писать в старый VkBuffer, адрес которого уже выведен из пула и может быть повторно выдан под другие ресурсы.
  • Таким образом, драйвер/GPU получает "висячую" ссылку -> запись за пределами/по неверному адресу
  • Повреждает кучу драйвера/внутренний буфер ANGLE, давая произвольную запись в адрес‑пространстве gpu‑process

1753012812217.png



glBufferData/ValidateBufferData
https://docs.gl/es3/glBufferDatahttps://chromium.googlesource.com/angle/angle.git/+/df15136b959fc60c230265f75ee7fc75c96e8250/src/libANGLE/validationES2.cpp#3607
glBufferSubData/ValidateBufferSubData
https://docs.gl/es3/glBufferSubDatahttps://chromium.googlesource.com/angle/angle.git/+/df15136b959fc60c230265f75ee7fc75c96e8250/src/libANGLE/validationES2.cpp#3674
BufferVk::setDataImpl
https://chromium.googlesource.com/angle/angle.git/+/df15136b959fc60c230265f75ee7fc75c96e8250/src/libANGLE/renderer/vulkan/BufferVk.cpp#1200

khronos.org/opengl/wiki/Transform_Feedback
BufferVk::isCurrentlyInUse
https://chromium.googlesource.com/angle/angle.git/+/df15136b959fc60c230265f75ee7fc75c96e8250/src/libANGLE/renderer/vulkan/BufferVk.cpp#1349
glBeginTransformFeedback
https://docs.gl/es3/glBeginTransformFeedback
glPauseTransformFeedback
https://docs.gl/es3/glPauseTransformFeedback

Советую проанализировать regress test:
https://chromium.googlesource.com/angle/angle.git/+/e1dc0a7ab5d1f1f2edaa7e41447d873895e083bf%5E%21/#F3
1753011237309.png

Optimize VAO bindings(from 2021)
https://chromium-review.googlesource.com/c/angle/angle/+/3170116

До фикса CVE-2025-6558, ANGLE допускал изменяемые операции с буферами, которые все еще были привязаны к GPU для обратной записи через XFB

Chromium

issues.chromium.org

Chromium

issues.chromium.org

Chromium

issues.chromium.org
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх