Chrome 2025 Zero-Days : La chaîne d'exécution ANGLE, V8 et Mojo

Le paysage de l'exploitation des navigateurs s'est fondamentalement modifié en 2025. Pendant des années, les bogues "Use-After-Free" (UAF) dans le DOM (Document Object Model) ont dominé l'actualité. Cependant, avec la maturation de la technologie Google MiraclePtr (un mécanisme de protection des pointeurs bruts) et l'application généralisée de la loi sur l'accès à l'information. Bac à sable V8la barre d'une exploitation réussie a été relevée à un niveau sans précédent.

Les attaquants - en particulier les groupes APT avancés et les fournisseurs de surveillance commerciale - se sont adaptés. Les exploits de 2025 n'étaient pas de simples crashs ; il s'agissait d'élégantes chaînes de mise à mort en plusieurs étapes. Ils combinaient Confusion des types de V8 pour compromettre le moteur de rendu, s'est appuyé sur la fonction ANGLE la couche graphique afin d'obtenir un accès privilégié au GPU, et abusé Mojo IPC logique pour sortir du bac à sable.

Cet article propose une analyse technique approfondie de ces vecteurs, en se concentrant sur les points suivants CVE-2025-14174 (ANGLE), CVE-2025-13223 (V8), et l'échappement logique (logical sandbox escape) CVE-2025-2783tout en explorant comment l'exploitation automatisée pilotée par l'IA devient le seul moyen de détecter ces chaînes complexes avant qu'elles ne se répandent dans la nature.

La nouvelle surface d'attaque : ANGLE et CVE-2025-14174

Vulnérabilité : Écriture hors limites dans le backend Metal

Composant : ANGLE (moteur de couche graphique presque natif)

Impact : Exécution du code du processus GPU

Alors que V8 fait les gros titres, la pile graphique est devenue le ventre mou de la sécurité des navigateurs. CVE-2025-14174divulguée en décembre 2025, visait la couche d'abstraction ANGLE-Chrome qui traduit les appels WebGL/WebGPU en API système natives (DirectX, OpenGL, Metal, Vulkan).

La mécanique technique

La vulnérabilité résidait spécifiquement dans la traduction par ANGLE des appels WebGL vers le logiciel Apple Métal API. Lorsqu'une page web lance une texImage2D ANGLE doit calculer l'espace mémoire et le padding pour mapper la texture dans l'espace mémoire du GPU.

Dans le cas de CVE-2025-14174, le calcul de la valeur de pixelsDepthPitch (utilisé dans les textures 3D) souffrait d'un débordement d'entier lorsque des paramètres d'alignement d'emballage spécifiques (GL_UNPACK_ALIGNMENT) ont été combinés à des dimensions de texture extrêmes.

La primitive d'exploitation :

Feng Shui en tas : L'attaquant pulvérise le tas de processus du GPU avec des Mémoire partagée pour aligner les morceaux de mémoire.
Déclencheur : Un appel de dessin WebGL spécifique déclenche le débordement, en écrivant des données de texture contrôlées par l'attaquant au-delà des limites de la mémoire tampon allouée.
Corruption : Le débordement écrase le vtable pointeur d'un objet C++ résidant dans le morceau de tas adjacent.
Exécution : Lorsque le processus GPU tente de détruire ou d'utiliser cet objet, il appelle un pointeur de fonction désormais contrôlé par l'attaquant.

Pourquoi c'est important :

Le processus GPU est une cible privilégiée. Contrairement au processus de rendu fortement restreint, le processus GPU interagit directement avec les pilotes et les systèmes de fenêtrage au niveau du noyau. L'obtention d'un RCE à ce niveau permet souvent de contourner plusieurs couches d'atténuation du système d'exploitation.

Ask Any CVE à l'intérieur de Penligent et obtenez OneClick PoC

Le classique évolué : Confusion de type V8 (CVE-2025-13223)

Vulnérabilité : Faille d'optimisation JIT

Composant : Moteur V8 (TurboFan)

Impact : Renderer RCE (à l'intérieur du bac à sable V8)

Bien que le bac à sable V8 tente d'isoler le tas, Confusion des types de V8 reste la principale méthode pour obtenir des primitives de lecture/écriture. CVE-2025-13223 met en évidence une défaillance dans le pipeline d'optimisation du TurboFan.

L'échec de CheckMaps

TurboFan optimise JavaScript en faisant des hypothèses sur les types d'objets (Maps). Si le code accède à un tableau d'entiers de manière répétée, TurboFan compile un code machine optimisé pour les entiers. Pour garantir la sécurité, il insère CheckMaps nœuds.

CVE-2025-13223 était un Élimination des redondances erreur. L'optimiseur a incorrectement déterminé qu'un CheckMaps était redondant et l'a supprimé, même si un effet de bord dans un appel de fonction précédent pouvait modifier la carte de l'objet.

L'exploitation conceptuelle :

JavaScript

`function vulnerable_opt(arr, trigger_obj) { // 1. TurboFan voit que arr est un tableau de Doubles. let x = arr[0] ;

// Effet secondaire : Cette fonction transforme 'arr' en un tableau d'objets.
// Cependant, TurboFan a supprimé la vérification de Map après cet appel en raison du bogue.
trigger_obj.toString() ;

// Confusion de type : TurboFan écrit une valeur flottante, mais la mémoire est maintenant constituée de pointeurs d'objets.
// Nous écrivons une valeur flottante contrôlée (0x4141...) qui est interprétée comme un pointeur.
arr[1] = 1.337e-308 ;

Vaincre le bac à sable V8

En 2025, obtenir addrOf et fauxObj n'est plus suffisante en raison de la Bac à sable V8. Ce mécanisme de sécurité "emprisonne" le tas V8, ce qui signifie qu'un attaquant ne peut corrompre la mémoire que dans les cas suivants à l'intérieur le bac à sable. Ils ne peuvent pas écraser les adresses de retour sur la pile ou modifier les allocateurs de partition à l'extérieur de la cage.

Pour exploiter CVE-2025-13223, les attaquants l'ont utilisé pour corrompre un fichier WasmInstanceObject. En modifiant la table de saut d'une instance WebAssembly (qui réside à l'intérieur du bac à sable), ils ont pu rediriger l'exécution vers un shellcode arbitraire compilé via JIT, ce qui leur a permis d'obtenir une exécution de code arbitraire en respectant les contraintes du moteur de rendu.

Chrome 2025 Zero-Days : La chaîne de la mort ANGLE, V8 et Mojo Penligent

L'évasion : Mojo bogues de logique IPC (CVE-2025-2783)

Vulnérabilité : Validation inadéquate des permissions

Composant : Mojo IPC (Inter-Process Communication)

Impact : Évasion du bac à sable (compromission de l'ensemble du système)

Lorsque le moteur de rendu est compromis, l'attaquant est toujours piégé dans le bac à sable. C'est là que le Mojo IPC entre en jeu. Mojo est le système IPC haute performance que Chrome utilise pour la communication entre le moteur de rendu non fiable et le processus privilégié du navigateur.

CVE-2025-2783 n'était pas un bogue de corruption de mémoire ; il s'agissait d'un défaut de logique dans l'implémentation de la fonction Accès au système de fichiers l'interface.

La faille du langage de définition d'interface (IDL)

Chrome définit les interfaces IPC à l'aide de .mojom fichiers. La vulnérabilité se situe au niveau d'une méthode destinée à permettre l'accès en lecture aux fichiers temporaires.

C++

// Logique vulnérable dans le processus du navigateur void OnRequestFileAccess(int32 render_frame_id, String file_path) { // FLAW : Le navigateur vérifie si le chemin est "sûr" (par exemple, pas de ../) // MAIS il ne vérifie pas si le moteur de rendu *appartient* au chemin d'accès du fichier. // Un attaquant pourrait demander l'accès à des données de profil ou à des cookies. GrantAccess(file_path) ; }

La chaîne d'exploitation :

Renderer de compromis : Utiliser CVE-2025-13223 pour exécuter du code natif.
Hook Mojo : Localisez les tables de répartition Mojo dans la mémoire.
Message de la forge : Construire un message Mojo brut en appelant OnRequestFileAccess avec un chemin d'accès aux données sensibles de l'utilisateur (par ex, Données de connexion SQLite DB).
Exfiltrer : Étant donné que le processus du navigateur exécute la lecture du fichier avec des privilèges élevés, il renvoie la poignée du fichier au moteur de rendu, en contournant les autorisations de fichier du système d'exploitation.

Il s'agit de l'"ère logique" de l'exploitation des navigateurs : l'utilisation de fonctions valides de manière non valide pour franchir les limites de sécurité.

L'avenir de la détection : Synthèse primitive pilotée par l'IA

La complexité de ces chaînes, en particulier le passage d'une corruption du tas V8 à une primitive stable, puis à un abus de logique Mojo, dépasse l'analyse manuelle humaine. Les Fuzzers sont bons pour trouver des crashs, pas des bugs logiques.

Il s'agit du domaine opérationnel de Penligent.ai.

Génération automatisée d'exploits (AEG)

Penligent fait passer le paradigme de l'"analyse des vulnérabilités" à la "génération automatisée d'exploits".

Synthèse de l'agencement du tas : Pour les vulnérabilités telles que CVE-2025-14174 (ANGLE), les agents IA de Penligent analysent le comportement de l'allocateur du tas afin de déterminer automatiquement la séquence précise d'allocations (Spraying) nécessaire pour placer un objet cible à côté de la mémoire tampon de débordement. Il résout mathématiquement l'énigme du "Heap Feng Shui".
Raisonnement logique IDL : Pour les exploits Mojo (CVE-2025-2783), Penligent analyse l'ensemble de la base de code de Chrome dans la section .mojom définitions. Il construit un graphe de dépendance des appels IPC et utilise l'apprentissage par renforcement (RL) pour identifier les séquences de messages valides qui entraînent des changements d'état privilégiés.

En automatisant la construction de la chaîne d'exécution complète - de la primitive à l'évasion - Penligent fournit le seul moyen fiable de valider si un correctif rompt réellement le chemin de l'exploit ou s'il corrige simplement le symptôme.

Conclusion et stratégies d'atténuation

Le paysage des zero-day de 2025 Chrome nous apprend que l'ère du "Hardening" fonctionne, mais qu'elle pousse les attaquants vers des bogues logiques et des abus de sous-systèmes.

Stratégie de défense hardcore :

Isolation stricte du site : Garantir Strict-Origin-Isolation est activé afin d'éviter les fuites de données inter-origines, même si le moteur de rendu est compromis.
Désactiver WebGL/WebGPU dans les zones critiques : Pour les portails internes hautement sécurisés, utilisez les politiques d'entreprise pour désactiver l'accélération matérielle, neutralisant ainsi la surface d'attaque ANGLE (CVE-2025-14174).
Surveillance IPC : Les équipes défensives doivent commencer à surveiller le trafic IPC interne. Les EDR examinent rarement les messages Mojo, mais c'est précisément là que se produit l'intrusion.

La bataille s'est déplacée de la pile et du tas vers les portes logiques de l'architecture du navigateur. Les ingénieurs en sécurité doivent adapter leurs outils et leur état d'esprit en conséquence.

Références fiables

Partager l'article :

Articles connexes

MITRE ATT&CK for Engineers: Building Repeatable Mapping and Validation Pipelines

1. MITRE ATT&CK Fundamentals That Matter in Engineering 1.1 Origins and Intent ATT&CK began in 2013 at MITRE. It was

AutoPentestX vs Penligent AI: The Practical Differences You’ll Feel on Day One

When security teams search for “AutoPentestX vs Penligent AI,” they rarely want to know which tool has a sleeker dashboard.