CVE-2025-12380: Firefox WebGPU IPC Use-After-Free沙箱逃逸漏洞

漏洞信息

漏洞编号

CVE-2025-12380

漏洞类型

Use-After-Free (UAF)

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Mozilla Firefox

漏洞概述

CVE-2025-12380是Mozilla Firefox中的一个严重安全漏洞，CVSS评分高达9.8分。该漏洞影响Firefox 142至144.0.1版本，源于WebGPU相关IPC调用处理中的内存管理问题。攻击者可通过被破坏的子进程触发GPU或浏览器进程中的use-after-free条件，进而可能实现沙箱逃逸，获得更高系统权限。此漏洞无需用户交互，远程攻击者可通过网络直接利用，对Firefox用户构成重大安全威胁。Mozilla已于Firefox 144.0.2版本中修复此漏洞。

技术细节

该漏洞属于Use-After-Free（释放后重用）类型，存在于Firefox的WebGPU实现中。具体而言，当子进程通过IPC机制发送WebGPU相关请求时，如果子进程被攻击者控制，可能导致GPU进程或浏览器进程中的内存被提前释放，但在后续代码执行中仍被引用。攻击者可通过精心构造的IPC消息触发这一条件，覆写已释放的内存内容，最终实现代码执行或沙箱逃逸。由于Firefox使用多进程架构（Browser进程、GPU进程、Content子进程等），此漏洞允许攻击者从相对隔离的子进程环境突破到更核心的浏览器进程中，具有极高的危害性。

攻击链分析

STEP 1

步骤1: 获取子进程控制权

攻击者首先需要通过其他漏洞（如renderer漏洞）获得Firefox子进程的控制权，使其成为被破坏的子进程

STEP 2

步骤2: 发送恶意WebGPU IPC请求

被破坏的子进程向GPU进程或浏览器进程发送精心构造的WebGPU相关IPC消息

STEP 3

步骤3: 触发Use-After-Free条件

IPC处理逻辑中存在内存管理缺陷，特定的消息序列导致GPU/浏览器进程中的对象被提前释放

STEP 4

步骤4: 内存覆写与代码执行

攻击者通过内存喷射等技术覆写已释放的内存空间，劫持执行流程

STEP 5

步骤5: 沙箱逃逸

成功利用UAF后，攻击者获得更高权限，成功从子进程沙箱逃逸到浏览器主进程

STEP 6

步骤6: 进一步攻击

实现沙箱逃逸后，攻击者可执行任意代码、安装恶意软件或窃取敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-12380 PoC - WebGPU IPC UAF trigger
// This PoC demonstrates the concept of triggering UAF via WebGPU IPC
// Note: Actual exploit requires compromised child process

const webgpuUafTrigger = {
  name: "WebGPU IPC UAF Trigger",
  cveId: "CVE-2025-12380",
  target: "Firefox 142-144.0.1",
  
  // Step 1: Acquire WebGPU adapter
  async initWebGPU() {
    if (!navigator.gpu) {
      throw new Error("WebGPU not supported");
    }
    const adapter = await navigator.gpu.requestAdapter();
    return adapter;
  },
  
  // Step 2: Create device and trigger IPC
  async triggerUAF(adapter) {
    const device = await adapter.requestDevice();
    
    // Trigger IPC calls that may lead to UAF in GPU process
    // The actual UAF occurs in the GPU/browser process
    // not directly observable from JavaScript
    
    // Force garbage collection to increase UAF probability
    device.destroy();
    await new Promise(r => setTimeout(r, 100));
    global.gc?.();
    
    return true;
  },
  
  // Note: Real exploitation requires:
  // 1. Compromised child process (e.g., via renderer exploit)
  // 2. Crafted IPC messages to GPU process
  // 3. Memory spray to achieve arbitrary read/write
  // 4. Sandbox escape via process-level vulnerability
  execute() {
    return this.initWebGPU()
      .then(adapter => this.triggerUAF(adapter))
      .catch(err => console.error("Error:", err));
  }
};

// Export for Node.js or browser environment
if (typeof module !== 'undefined' && module.exports) {
  module.exports = webgpuUafTrigger;
}

影响范围

Mozilla Firefox 142.0

Mozilla Firefox 142.0.1

Mozilla Firefox 142.0.2

Mozilla Firefox 142.0.3

Mozilla Firefox 142.0.4

Mozilla Firefox 143.0

Mozilla Firefox 143.0.1

Mozilla Firefox 143.0.2

Mozilla Firefox 144.0

Mozilla Firefox 144.0.1

防御指南

临时缓解措施

如果无法立即升级，可考虑以下临时措施：1) 禁用Firefox的WebGPU功能（通过about:config设置webgpu.enabled为false）；2) 限制Firefox的进程权限；3) 使用额外的安全防护软件；4) 避免访问可疑链接。但最有效的防护措施仍是尽快升级到Firefox 144.0.2或更高版本。