Chrome 2025 Sıfır Günleri: ANGLE, V8 ve Mojo Ölüm Zinciri

Tarayıcı istismarının manzarası 2025 yılında temelden değişti. Yıllarca, DOM'daki (Belge Nesne Modeli) "Use-After-Free" (UAF) hataları anlatıya hakim oldu. Ancak, Google'ın olgunlaşmasıyla birlikte MiraclePtr (bir ham işaretçi koruma mekanizması) ve yaygın olarak uygulanması V8 Sandboxbaşarılı bir sömürü için çıta daha önce görülmemiş bir seviyeye yükseltilmiştir.

Saldırganlar -özellikle de gelişmiş APT grupları ve ticari gözetim satıcıları- bu duruma adapte oldular. 2025'in istismarları basit çökmeler değildi; zarif, çok aşamalı öldürme zincirleriydi. Birleştirdiler V8 Tip Karışıklığı renderer'ı tehlikeye atmak için AÇI ayrıcalıklı GPU erişimi elde etmek için grafik katmanı ve kötüye Mojo IPC kum havuzundan kaçmak için mantık.

Bu makale, aşağıdaki konulara odaklanarak bu vektörlerin sert bir teknik analizini sunmaktadır CVE-2025-14174 (AÇI), CVE-2025-13223 (V8) ve mantıksal sanal alan kaçışı CVE-2025-2783Yapay zeka güdümlü otomatik istismarın, bu karmaşık zincirleri vahşi doğaya çıkmadan önce tespit etmenin tek yolu haline geldiğini keşfederken.

Yeni Saldırı Yüzeyi: ANGLE ve CVE-2025-14174

Güvenlik Açığı: Metal Backend'de Sınır Dışı Yazma

Bileşen: ANGLE (Neredeyse Yerel Grafik Katman Motoru)

Etki: GPU İşlem Kodunun Yürütülmesi

V8 manşetlerde yer alsa da, grafik yığını tarayıcı güvenliğinin yumuşak karnı haline gelmiştir. CVE-2025-14174Aralık 2025'te açıklanan ANGLE-Chrome'un WebGL/WebGPU çağrılarını yerel sistem API'lerine (DirectX, OpenGL, Metal, Vulkan) çeviren soyutlama katmanını hedef almıştır.

Teknik Mekanik

Güvenlik açığı özellikle ANGLE'ın WebGL çağrılarını Apple'ın Metal API. Bir web sayfası bir texImage2D çağrısında ANGLE, dokuyu GPU'nun bellek alanına eşlemek için bellek adımını ve dolgusunu hesaplamalıdır.

CVE-2025-14174'te, aşağıdakiler için hesaplama pixelsDepthPitch (3D dokularda kullanılır) belirli paketleme hizalama parametreleri (GL_UNPACK_ALIGNMENT) aşırı doku boyutları ile birleştirilmiştir.

Exploit Primitive:

Yığın Feng Shui: Saldırgan GPU işlem yığınını SharedMemory bellek parçalarını hizalamak için nesneler.
Tetikleyici: Belirli bir WebGL çizim çağrısı taşmayı tetikleyerek saldırganın kontrolündeki doku verilerini ayrılan tamponun sınırlarının ötesine yazar.
Yolsuzluk: Taşma, aşağıdaki dosyanın üzerine yazar vtable Bitişik yığın yığınında bulunan bir C++ nesnesinin işaretçisi.
Yürütme: GPU işlemi bu nesneyi yok etmeye veya kullanmaya çalıştığında, artık saldırgan tarafından kontrol edilen bir işlev işaretçisini çağırır.

Bu neden önemli?

GPU süreci ayrıcalıklı bir hedeftir. Oldukça kısıtlı Renderer işleminin aksine, GPU işlemi doğrudan çekirdek düzeyindeki sürücüler ve pencereleme sistemleriyle etkileşime girer. Burada RCE elde etmek genellikle birkaç işletim sistemi hafifletme katmanını atlar.

Penligent içinde Herhangi Bir CVE'ye Sorun ve OneClick PoC alın

Klasik Evrimleşti: V8 Tip Karışıklığı (CVE-2025-13223)

Güvenlik Açığı: JIT Optimizasyon Kusuru

Bileşen: V8 Motor (TurboFan)

Etki: Renderer RCE (V8 Sandbox İçinde)

V8 Sandbox'ın yığını izole etmeye çalışmasına rağmen, V8 Tip Karışıklığı ilk okuma/yazma ilkellerini elde etmek için birincil yöntem olmaya devam etmektedir. CVE-2025-13223 TurboFan optimizasyon hattındaki bir arızayı vurgular.

CheckMaps Arızası

TurboFan, nesne türleri (Haritalar) hakkında varsayımlarda bulunarak JavaScript'i optimize eder. Kod bir tamsayı dizisine tekrar tekrar erişiyorsa, TurboFan tamsayılar için optimize edilmiş makine kodunu derler. Güvenliği sağlamak için, ekler CheckMaps Düğümler.

CVE-2025-13223 bir Artıklık Giderme Hata. İyileştirici yanlışlıkla bir CheckMaps düğümü gereksizdi ve önceki bir işlev çağrısındaki bir yan etki nesnenin Haritasını değiştirebilse de onu kaldırdı.

Kavramsal İstismar:

JavaScript

`function vulnerable_opt(arr, trigger_obj) { // 1. TurboFan arr'nin bir Çiftler dizisi olduğunu görür. let x = arr[0];

// 2. Yan etki: Bu işlev 'arr' öğesini bir Nesne dizisine dönüştürür.
// Ancak, TurboFan hata nedeniyle bu çağrıdan sonra Map kontrolünü kaldırmıştır.
trigger_obj.toString();

// 3. Tür Karışıklığı: TurboFan bir float yazar, ancak bellek artık Object işaretçileridir.
// İşaretçi olarak yorumlanan kontrollü bir float değeri (0x4141...) yazıyoruz.
arr[1] = 1.337e-308;

V8 Sandbox'ı Yenmek

2025 yılında addrOf ve fakeObj ilkelleri artık yeterli değil çünkü V8 Sandbox. Bu güvenlik mekanizması V8 yığınını "kafesler", yani bir saldırgan yalnızca belleği bozabilir içeride kum havuzu. Yığın üzerindeki dönüş adreslerinin üzerine yazamazlar veya kafes dışındaki bölüm ayırıcıları değiştiremezler.

CVE-2025-13223'ü silah olarak kullanmak için saldırganlar bunu bir WasmInstanceObject. Bir WebAssembly örneğinin (sanal alanın içinde bulunan) atlama tablosunu değiştirerek, yürütmeyi JIT aracılığıyla derlenen rastgele kabuk koduna yönlendirebilir ve böylece rastgele kod yürütme elde edebilirler renderer'ın kısıtlamaları dahilinde.

Chrome 2025 Sıfır Günleri: ANGLE, V8 ve Mojo Kill Chain Penligent

Kaçış: Mojo IPC Mantık Hataları (CVE-2025-2783)

Güvenlik Açığı: Yetersiz İzin Doğrulaması

Bileşen: Mojo IPC (Süreçler Arası İletişim)

Etki: Sandbox'tan Kaçış (Tam Sistem Tehlikesi)

İşleyici ele geçirildiğinde, saldırgan hala kum havuzunda kapana kısılmış durumdadır. İşte burada Mojo IPC içeri geliyor. Mojo, Chrome'un güvenilmeyen Renderer ile ayrıcalıklı Tarayıcı Süreci arasındaki iletişim için kullandığı yüksek performanslı IPC sistemidir.

CVE-2025-2783 bellek bozulması hatası değildi; bu, bellek bozulması hatasının uygulanmasındaki bir mantık hatasıydı. FileSystemAccess arayüz.

Arayüz Tanımlama Dili (IDL) Kusuru

Chrome, IPC arayüzlerini aşağıdakileri kullanarak tanımlar .mojom dosyalar. Güvenlik açığı, geçici dosyalara okuma erişimi sağlamak için kullanılan bir yöntemde mevcuttur.

C++

// Tarayıcı Sürecindeki Güvenlik Açığı Mantığı void OnRequestFileAccess(int32 render_frame_id, String file_path) { // HATA: Tarayıcı yolun "güvenli" olup olmadığını kontrol etti (örn. ../ yok) // ANCAK dosya_yolunun renderer'a *ait* olup olmadığını doğrulamadı. // Bir saldırgan profil verilerine veya çerezlere erişim talep edebilir. GrantAccess(file_path); }

İstismar Zinciri:

Uzlaşma Oluşturucu: Yerel kodu çalıştırmak için CVE-2025-13223'ü kullanın.
Kanca Mojo: Bellekteki Mojo gönderim tablolarını bulun.
Forge Mesajı: Çağırarak ham bir Mojo mesajı oluşturun OnRequestFileAccess hassas kullanıcı verilerine işaret eden bir yol ile (örn, Giriş Verileri SQLite DB).
Sızın: Tarayıcı işlemi dosya okuma işlemini yüksek ayrıcalıklarla yürüttüğünden, işletim sistemi dosya izinlerini atlayarak dosya tanıtıcısını işleyiciye döndürür.

Bu, tarayıcı istismarının "Mantık Çağı "nı temsil eder: güvenlik sınırlarını aşmak için geçerli özellikleri geçersiz yollarla kullanmak.

Algılamanın Geleceği: Yapay Zeka Güdümlü İlkel Sentez

Bu zincirlerin karmaşıklığı, özellikle de V8 yığın bozulmasından kararlı bir ilkele ve ardından Mojo mantık kötüye kullanımına sıçrama, insan eliyle yapılan analizleri aşıyor. Fuzzer'lar çökmeleri bulmakta iyidir, mantık hatalarını değil.

Bu, aşağıdakilerin operasyonel alanıdır Penligent.ai.

Otomatik İstismar Üretimi (AEG)

Penligent, paradigmayı "Zafiyet Taraması "ndan "Otomatik İstismar Üretimi "ne kaydırıyor.

Yığın Düzeni Sentezi: CVE-2025-14174 (ANGLE) gibi güvenlik açıkları için Penligent'in yapay zeka ajanları, hedef nesneyi taşma tamponunun yanına yerleştirmek için gereken kesin tahsis sırasını (Püskürtme) otomatik olarak belirlemek için yığın ayırıcının davranışını analiz eder. "Heap Feng Shui" bulmacasını matematiksel olarak çözer.
IDL Mantıksal Akıl Yürütme: Mojo açıkları (CVE-2025-2783) için Penligent, Chrome kod tabanının tamamını ayrıştırır .mojom tanımlar. IPC çağrılarının bağımlılık grafiğini oluşturur ve ayrıcalıklı durum değişikliklerine neden olan geçerli mesaj dizilerini tanımlamak için Takviyeli Öğrenme (RL) kullanır.

Penligent, ilkelden kaçışa kadar tüm öldürme zincirinin oluşturulmasını otomatikleştirerek, bir yamanın gerçekten istismar yolunu kırıp kırmadığını veya yalnızca semptomu düzeltip düzeltmediğini doğrulamanın tek güvenilir yolunu sağlar.

Sonuç ve Etki Azaltma Stratejileri

2025 Chrome sıfırıncı gün manzarası bize "Sertleştirme" döneminin işe yaradığını, ancak saldırganları mantık hatalarına ve alt sistem istismarına ittiğini öğretiyor.

Zorlu Savunma Stratejisi:

Sıkı Saha İzolasyonu: Emin olun Katı Kökenli İzolasyon renderer tehlikeye girse bile çapraz kökenli veri sızıntılarını önlemek için etkinleştirilir.
Kritik Bölgelerde WebGL/WebGPU'yu devre dışı bırakın: Yüksek güvenlikli dahili portallar için, donanım hızlandırmayı devre dışı bırakmak üzere kurumsal ilkeleri kullanın ve ANGLE saldırı yüzeyini (CVE-2025-14174) etkili bir şekilde etkisiz hale getirin.
IPC İzleme: Savunma ekipleri dahili IPC trafiğini izlemeye başlamalıdır. EDR'ler Mojo mesajlarına nadiren bakar, ancak kopuş tam olarak burada gerçekleşir.

Savaş, yığın ve öbekten tarayıcı mimarisinin mantık kapılarına taşınmıştır. Güvenlik mühendisleri araçlarını ve zihniyetlerini buna göre uyarlamalıdır.

Güvenilir Referanslar

Gönderiyi paylaş:

İlgili Yazılar

Penligent 2025'in kritik Chrome sıfır gün güvenlik açıklarına derinlemesine dalış

2025'te İstismar Edilen Chrome Sıfır Gün Güvenlik Açıkları: CVE-2025-14174, V8 Tip Karışıklığı ve Sandbox Kaçışlarının Kapsamlı Analizi

2025 yılı tarayıcı güvenliği araştırmacıları için çalkantılı bir yıl oldu. Google, Chrome'un savunmasını güçlendirmeye devam ederken - özellikle

Daha fazla bilgi edinin

Filtre Yanılsaması JavaScript Filtre Mekanizmasının Silahlandırılması ve Savunulması Penligent

Filtre Yanılsaması: JavaScript Filtre Mekanizmasını Silahlandırmak ve Savunmak

Modern web geliştirmenin bozulmamış mimarisinde, javascript filtre fonksiyonu (Array.prototype.filter()) işlevselliğin temel taşı olarak kutlanır

Daha fazla bilgi edinin