51 名無しさん 2026/06/28(日) 06:57:20 ID:CyCrbwAg0 @MalwareBibleJPSamsung端末のカーネルに8年間潜伏していたUse-After-Free(解放済みメモリへの不正アクセス)脆弱性CVE-2026-20971が報告されています。Knox基盤のPROCA(プロセス完全性検証モジュール)とファイル整合性検証FIVEの連携部分に存在する競合状態で、非特権アプリからメモリ破壊プリミティブの取得が可能な状態にありました。Galaxy S9からS25まで、QualcommおよびExynos双方が影響を受け、2026年1月のセキュリティ更新で修正済みです。【要点の整理】・PROCAがprocfsエントリ([/]proc[/]pid[/]integrity[/])を通じてtask_integrityオブジェクトを参照する際に参照カウントを取得しないことに起因。execve()実行時に旧task_integrityが解放されるが、procfsハンドラが旧ポインタを保持したまま処理を再開するとUse-After-Freeが成立する構造・導出可能なプリミティブは3種。proc_integrity_value_readによるDWORD値リーク(クラッシュリスクなし)、proc_integrity_reset_fileのd_path経由の関数ポインタ呼び出し(KCFIにより実質無効化)、proc_integrity_label_readのスピンロック操作による解放済みメモリへの書き込み・レースウィンドウは極めて狭いがAndroidの完全プリエンプティブカーネル(実行中のタスクを随時中断できるカーネル設計)により到達可能。[/]system[/]bin[/]monkey(テキストファイル)へのexecve()失敗を利用してreset_fileの参照カウントを1に制御するトリックにより、ファイルオブジェクトのUAFに拡張できると報告されている。なお完全なLPEエクスプロイトの記述ではなくプリミティブの解説にとどまる・カーネルCFI(KCFI)がd_dname関数ポインタ書き換えによる任意コード実行を効果的に阻止した事例でもある。型互換性チェックにより互換プロトタイプを持つ関数が実質的に不在で、防御機構としてのCFIの有効性が裏付けられている 0 0
0
0
0
0
0
0
0
0
@MalwareBibleJP
Samsung端末のカーネルに8年間潜伏していたUse-After-Free(解放済みメモリへの不正アクセス)脆弱性CVE-2026-20971が報告されています。Knox基盤のPROCA(プロセス完全性検証モジュール)とファイル整合性検証FIVEの連携部分に存在する競合状態で、非特権アプリからメモリ破壊プリミティブの取得が可能な状態にありました。Galaxy S9からS25まで、QualcommおよびExynos双方が影響を受け、2026年1月のセキュリティ更新で修正済みです。
【要点の整理】
・PROCAがprocfsエントリ([/]proc[/]pid[/]integrity[/])を通じてtask_integrityオブジェクトを参照する際に参照カウントを取得しないことに起因。execve()実行時に旧task_integrityが解放されるが、procfsハンドラが旧ポインタを保持したまま処理を再開するとUse-After-Freeが成立する構造
・導出可能なプリミティブは3種。proc_integrity_value_readによるDWORD値リーク(クラッシュリスクなし)、proc_integrity_reset_fileのd_path経由の関数ポインタ呼び出し(KCFIにより実質無効化)、proc_integrity_label_readのスピンロック操作による解放済みメモリへの書き込み
・レースウィンドウは極めて狭いがAndroidの完全プリエンプティブカーネル(実行中のタスクを随時中断できるカーネル設計)により到達可能。[/]system[/]bin[/]monkey(テキストファイル)へのexecve()失敗を利用してreset_fileの参照カウントを1に制御するトリックにより、ファイルオブジェクトのUAFに拡張できると報告されている。なお完全なLPEエクスプロイトの記述ではなくプリミティブの解説にとどまる
・カーネルCFI(KCFI)がd_dname関数ポインタ書き換えによる任意コード実行を効果的に阻止した事例でもある。型互換性チェックにより互換プロトタイプを持つ関数が実質的に不在で、防御機構としてのCFIの有効性が裏付けられている