Linux 0-day CVE-2026-46333:ptrace 競態讓同 UID 用戶秒竊 SSH 私鑰
GitHub (0xdeadbeefnetwork) · 2026-05-15
Qualys 於 2026 年 5 月 15 日揭露並公開 PoC 的 CVE-2026-46333,利用 Linux 核心進程終止期間的競態條件,讓同 UID 的非特權用戶在一秒內竊取 /etc/ssh/ssh_host_*_key 及 /etc/shadow,影響所有主流 Linux 發行版。Linus Torvalds 在同日合併修補提交 31e62c2ebbfd,七個穩定版核心隨後同步發佈。
漏洞機制
漏洞串連三個核心行為,形成可利用的競態視窗。第一,__ptrace_may_access() 在目標進程的 task->mm == NULL(無記憶體空間)時跳過 dumpable 檢查,允許 ptrace 存取。第二,進程終止路徑 do_exit() 的呼叫順序是先 exit_mm()、後 exit_files(),形成「無 mm 但仍持有 FD」的短暫視窗。第三,在此視窗內,pidfd_getfd(2) 系統呼叫只要呼叫者 UID 與目標相符,即可成功複製目標進程的任意檔案描述符。
ssh-keysign 的設計缺陷
ssh-keysign 二進位(2002 年起存在)在呼叫 permanently_set_uid() 降權之前先開啟所有 SSH 主機金鑰(mode 0600)。若 EnableSSHKeysign=no,它帶著這些 FD 直接結束,競態視窗就在此刻出現。類似地,chage 工具在 setreuid(ruid, ruid) 降權前持有 /etc/shadow 的 FD。典型利用在 100–2000 次進程 spawn 內必中。
受影響版本
- Linux 7.0.x < 7.0.8 / 6.18.x < 6.18.31 / 6.12.x < 6.12.89
- 6.6.x < 6.6.139 / 6.1.x < 6.1.173 / 5.15.x < 5.15.207 / 5.10.x < 5.10.256
- 確認受影響:Raspberry Pi OS Bookworm、Debian 13、Ubuntu 22.04/24.04/26.04、Arch、CentOS 9
修補與緩解
核心修補修正了 __ptrace_may_access() 在 task->mm == NULL 時的邏輯判斷,確保不跳過 dumpable 檢查。臨時緩解可設定 /proc/sys/kernel/yama/ptrace_scope = 1,但會影響正常的 ptrace 除錯工作流。強烈建議立即升級核心。
原始來源:GitHub PoC、LWN CVE 報導
Pixel 10 零點擊漏洞鏈:CVE-2025-54957 與 VPU 驅動物理記憶體任意映射
Google Project Zero · 2026-05-15
Google Project Zero 於 2026 年 5 月 15 日公開 Pixel 10 的完整零點擊(0-click)漏洞鏈技術細節,組合了一個 Dolby 音訊解碼器漏洞(CVE-2025-54957)與 WAVE677DV VPU 驅動程式的物理記憶體越界映射缺陷,最終取得核心程式碼執行。漏洞已於 2026 年 2 月安全更新修補,影響 2025 年 12 月及更早的安全修補等級(SPL)。
漏洞機制
漏洞鏈分兩階段。第一階段,CVE-2025-54957 位於 Dolby DAP 音訊處理器(libdap.so)的 dap_cpdp_init 初始化函式。Pixel 10 引入了 RET PAC(Pointer Authentication Code)保護,研究人員繞過傳統堆疊覆寫攻擊,改為直接覆寫 init 函式指標,在音訊解碼路徑中取得使用者空間任意程式碼執行。
第二階段,WAVE677DV VPU 驅動程式(視訊解碼器)的 mmap handler 存在越界映射漏洞:傳入超過 VPU 暫存器區域實際大小的 mmap 長度時,驅動程式允許將超出範圍的物理記憶體映射進使用者空間。Pixel 設備的核心映像(包含 .text 與 .data)位於 VPU 暫存器區域的較高實體位址,且核心位址空間布局(KASLR)在 Pixel 設備上具有確定性,無需掃描即可定位。攻擊者透過這個映射視窗取得核心任意讀寫,最終完成提權至 root。
受影響版本
- Pixel 10,安全修補等級 2025 年 12 月及更早
- 2026 年 2 月安全更新已修補(報告至修補 71 天)
- severity 評級:High
修補與緩解
應立即將 Pixel 10 更新至 2026 年 2 月或更新的安全修補等級。研究人員指出,此漏洞鏈為零點擊攻擊,無需使用者互動即可觸發(透過惡意媒體串流觸發 Dolby 解碼路徑)。VPU 驅動的根本修補需核心更新,無法透過系統設定緩解。
原始來源:Google Project Zero
Mullvad 出口 IP 作為指紋向量:VPN 匿名性的結構性弱點
tmctmt.com · 2026-05-15
研究者在 2026 年 5 月記錄了一個針對 Mullvad VPN 用戶的被動指紋攻擊向量:即使 Mullvad 的連線本身是加密且未記錄的,出口 IP 的選擇模式仍可作為跨會話的穩定識別特徵,部分場景下可關聯同一用戶的多次連線。
漏洞機制
Mullvad 等大型 VPN 服務維護數量有限的出口伺服器池,用戶端的伺服器選擇演算法(通常基於延遲排名或地理位置)傾向於一致地選擇相同的少數幾個出口節點。研究者發現,即使用戶每次重連都更換出口 IP,選擇的分佈仍呈現非均勻特徵——特定幾個 IP 出現的機率顯著偏高,形成統計意義上的行為指紋。
攻擊面包含兩種場景:被動指紋(觀察多個站點的請求,匯總同 IP 段的連線模式)和跨站關聯(多個攻擊者控制的網站交換日誌,識別同一 VPN 用戶的跨站瀏覽行為)。這不需要破解加密,也不需要 VPN 提供者配合。
影響範圍
這個弱點並非 Mullvad 特有,而是 VPN 出口架構的結構性問題:出口節點池越小、客戶端選擇演算法越確定,指紋越穩定。Tor 的隨機電路選擇、定期輪換中繼節點正是為了緩解類似攻擊而設計。文章建議 VPN 提供者考慮在客戶端引入更強的隨機出口輪換機制,以及提供明確的「隱私優化」模式(犧牲部分速度換取更均勻的出口分佈)。
原始來源:tmctmt.com