資安雷達 2026 年 5 月 15 日

2026-05-15 — Apple M5 核心 MIE 繞過、PostgreSQL 11 CVE、vm2 CVSS 9.8 沙盒逃逸

primary=https://blog.calif.io/p/first-public-kernel-memory-corruption primary=https://www.postgresql.org/about/news/postgresql-184-1710-1614-1518-and-1423-released-3297/ primary=https://github.com/advisories/GHSA-248r-7h7q-cr24

Charlie · github.com/charlie0227 · 1 min read

首個公開的 Apple M5 核心記憶體損壞利用:繞過 Memory Integrity Enforcement

blog.calif.io · 2026-05-15

安全研究團隊 calif.io 於 2026-05-15 公開技術摘要,描述在 macOS 26.4.1(build 25E253)、Apple M5 晶片上完成的首個公開核心本地權限提升(LPE)利用鏈。攻擊者從非特權本地用戶出發,僅透過一般系統呼叫,最終取得 root shell,全程繞過 Apple Memory Integrity Enforcement(MIE)——這是建立在 ARM Memory Tagging Extension(MTE)之上的硬體輔助記憶體安全機制。

漏洞機制

攻擊利用鏈由兩個漏洞組成,採用資料導向攻擊(data-only attack)路徑——即不修改任何程式碼指標(函數指針、返回位址),而是操控核心資料結構誘導核心執行期望的操作。這種方法能繞過指標認證碼(PAC)和 MIE 的指令流完整性保護,因為 MIE 保護的是指令流而非資料流。

研究人員使用 AI 輔助工具(Mythos Preview)配合人工分析發掘漏洞,完整的 55 頁技術報告將在 Apple 發布修補後才公開,目前處於負責任揭露流程中。

受影響版本

  • macOS 26.4.1(build 25E253)已確認可利用
  • 影響範圍限於啟用 MIE 的 Apple M5 硬體
  • M1/M2/M3/M4 晶片因 MTE 硬體特性不同,此特定利用鏈不適用

修補與緩解

截至文章發布,Apple 尚未發布修補程式。本地非特權程式碼執行是必要前提——攻擊者需先在目標系統上執行程式碼才能觸發此漏洞鏈。對沒有本地登入者或只執行受信任應用程式的機器,直接風險相對有限;但對開發機、多用戶系統或部署未審查程式碼的環境(如 CI runner),風險評估需謹慎對待。建議關注 Apple 的安全更新(HT201222)。

原始來源:blog.calif.io

PostgreSQL 多版本安全更新:4 個 CVSS 8.8 漏洞,含非特權用戶任意程式碼執行

postgresql.org · 2026-05-14

PostgreSQL 全球開發組於 2026-05-14 發布跨五個主要版本的安全更新,共修補 11 個 CVE。CVE-2026-6637 允許非特權 SQL 用戶在資料庫 OS 用戶身份下執行任意程式碼,CVSS 8.8,並存在 SQL injection 向量,影響 PostgreSQL 14–18 全版本。

漏洞機制

CVE-2026-6637 位於 refint 貢獻模組(Referential Integrity 觸發器)。攻擊者可透過精心構造的觸發器參數,在觸發器執行路徑上注入任意 SQL 或 OS 指令,不需要資料庫 superuser 權限。

CVE-2026-6473(CVSS 8.8)是整數繞回引發的緩衝區溢位,可能導致段錯誤或任意記憶體寫入。CVE-2026-6475(CVSS 8.8)允許資料庫 superuser 透過 pg_basebackup 的符號連結追蹤,覆寫伺服器 OS 上的任意檔案,進而劫持 OS 帳號。CVE-2026-6477(CVSS 8.8)存在於 libpq 客戶端,伺服器端 superuser 可透過 lo_* 函數系列溢位客戶端程序堆疊,影響 pg_dumppsql

受影響版本

  • PostgreSQL 14.0–14.22 → 升至 14.23(2026-11-12 EOL)
  • PostgreSQL 15.0–15.17 → 升至 15.18
  • PostgreSQL 16.0–16.13 → 升至 16.14
  • PostgreSQL 17.0–17.9 → 升至 17.10
  • PostgreSQL 18.0–18.3 → 升至 18.4

修補與緩解

升級為累積式,停止服務替換二進位即可,不需 dump/reload 或 pg_upgrade。CVE-2026-6637 的短期緩解:DROP EXTENSION refint(若非必要)或收緊能建立 refint 觸發器的角色權限。建議所有 PostgreSQL 14–18 環境以最高優先順序安排升級,特別是面向多用戶或半受信任用戶的資料庫服務。

原始來源:postgresql.org

CVE-2026-45411:vm2 沙盒透過 Async Generator 逃逸,CVSS 9.8

github.com/advisories · 2026-05-14

npm 套件 vm2(Node.js 沙盒執行環境)在 3.11.2 及更早版本中存在沙盒逃逸漏洞 CVE-2026-45411(GHSA-248r-7h7q-cr24),CVSS 9.8(Critical)。攻擊者可在沙盒內執行任意程式碼的前提下,利用此漏洞在宿主系統上達到遠端或本地程式碼執行。

漏洞機制

漏洞位於 vm2 對非同步生成器(async generator)的異常處理邏輯。當使用 yield* 委派另一個生成器,且被委派生成器在 return 時拋出例外,vm2 的異常捕獲路徑未能正確隔離宿主環境的物件參考。攻擊者可利用此缺陷在例外處理過程中取得宿主 JavaScript 引擎的原生物件,進而執行沙盒外的任意程式碼,完全突破 vm2 的隔離邊界。

受影響版本

  • vm2 ≤ 3.11.2(所有版本)
  • 修補版本:3.11.3

修補與緩解

升級至 vm2 3.11.3 是唯一有效修補。值得注意的是,vm2 在 2023 年已有多個沙盒逃逸記錄(CVE-2023-29199、CVE-2023-30547),維護者本身建議將 vm2 視為「對惡意代碼的防禦是盡力而為而非保證」。對需要強隔離的場景(多租戶代碼執行平台),應考慮 OS 層沙盒替代方案:Deno Worker、Cloudflare Workers(V8 isolate),或基於 gVisor/seccomp 的容器環境。

原始來源:GHSA-248r-7h7q-cr24

End of article

More on this topic

資安雷達
2026-05-14 — Fragnesia Linux LPE、NIST NVD 縮減、Strapi CVE-2026-22599
5 月 14, 2026 · 1 min read
資安雷達
2026-05-13 — CVE-2026-45185 Exim RCE、dnsmasq 六個 CVE、SillyTavern 路徑穿越 CVSS 9.1
5 月 13, 2026 · 1 min read
資安雷達
2026-05-12 — TanStack NPM 供應鏈攻擊:OIDC Token 劫持植入憑證竊取器
5 月 12, 2026 · 1 min read
0
Would love your thoughts, please comment.x
()
x