核心堆疊釋放後使用漏洞:利用 NVIDIA GPU 的 Linux 驅動程式 (★
118 分)
本文由法國資訊安全公司 Quarkslab 撰寫,揭露了在 NVIDIA Linux 開源 GPU 核心模組中發現的兩個重大漏洞,分別登錄為 CVE‑2025‑23300 與 CVE‑2025‑23280。這些漏洞可被本機未具特權的攻擊者利用,進而在系統核心 (kernel) 內取得任意讀寫權限。第一個漏洞出現在 `nvidia-uvm.ko` 模組的 `UVM_MAP_EXTERNAL_ALLOCATION` ioctl 呼叫,因未檢查結構中 `pGpu` 欄位為空指標而導致核心 null 指標解參考 (null‑pointer dereference)。第二個漏洞屬於「釋放後使用」(use‑after‑free, UAF),發生於 `nvidia.ko` 模組的 `threadStateInit()` 和 `threadStateFree()` 函式。由於兩者通常搭配使用並在核心堆疊 (stack) 中建立暫時結構,一旦前者執行後遇到 kernel oops 異常而未釋放,系統便會在全域紅黑樹中保留一個指向已釋放堆疊的無效指標,後續存取將觸發 UAF。NVIDIA 在 2025 年 10 月發佈更新,針對前者增加 GPU 內容檢查、針對後者改以堆積配置的安全 API `threadStateAlloc()` 取代堆疊配置方式,但仍可能有部分函式未全面修補。
文章詳述研究人員如何於 Ubuntu Noble 與 NVIDIA T550 GPU 上驗證攻擊過程。利用第一個漏洞觸發第二個,以形成堆疊 UAF,再藉由 `vmalloc` 區域配置行為與大型 `v4l2` (Video4Linux2) 緩衝操作精準塑形記憶體佈局。透過反覆 fork 產生新核心堆疊、釋放及建立未清除頁面區段,再以視訊緩衝重疊 UAF 位址,使攻擊者得以在 `vmalloc` 空間內取得完全控制權限。接著利用紅黑樹結構之節點旋轉行為 (`_mapRotateRight`) 取得受限任意寫入原語 (arbitrary write primitive),進而覆寫核心堆疊中的特定指標,例如 `path_openat()` 函式的 `file` 指標,使其指向攻擊者控制的假結構。最後藉由系統呼叫與 `struct file_operations` 間的位址比對洩漏 KASLR (Kernel Address Space Layout Randomization,核心位址空間配置隨機化) 偏移,最終可任意呼叫核心函式、讀寫記憶體並提權為系統管理者。作者指出,利用過程需精準把握核心配置時序,因此在系統負載繁重時成功率會降低。
Quarkslab 於 2025 年 6 月中旬向 NVIDIA PSIRT 回報漏洞,雙方歷經數月往返。NVIDIA 初期無法重現問題,並要求延後至 2026 年 1 月才公開,但 Quarkslab 認為已超出一般協調揭露的 90 天原則,最終僅同意延後至 10 月 23 日。NVIDIA 於 10 月 9 日發佈安全公告並修補漏洞,隨後更正 CVE‑2025‑23280 的歸屬,確認為 Quarkslab 所通報。完整攻擊概念驗證程式 (PoC) 已於文末提供。
在 Hacker News 的討論中,許多留言集中於揭露時程與 NVIDIA 的應對速度。一位高讚留言批評,身為全球最富有的科技公司卻需七個月修補核心漏洞,質疑其安全處理流程的效率與透明度。另一串討論延伸至程式語言安全性,有人調侃「沒有防止這種錯誤的方法」,引出對比——此類釋放後使用錯誤僅會在 C、C++ 等無記憶體安全保障語言出現,而在具有型別與所有權檢查的 Rust 或具自動垃圾回收的語言中原理上不可能發生,不少評論呼籲驅動廠商應轉向更安全的語言開發。亦有使用者指出,雖然本次漏洞出現在已開放原始碼的核心模組,但 NVIDIA 專有階層 (userland) 仍封閉,使社群難以協助檢視與修補,顯示其「開源轉型」仍不徹底。另有人提到 Jetson Thor 等平台仍採獨立分支驅動,暫未套用修補,顯示生態碎片化問題。整體而言,社群肯定 Quarkslab 的技術深度與資訊揭露透明度,同時也再度反思專有硬體生態在開源與安全治理之間的拉鋸。
👥
10 則討論、評論 💬
https://news.ycombinator.com/item?id=45592585