文章总结： 奥地利格拉茨理工大学团队优化Linux页面缓存攻击技术，将攻击速度提升5到6个数量级，刷新操作仅需0.8微秒。攻击者可借此监控文件访问窃取敏感信息、实施同步网络钓鱼或破坏Docker隔离。尽管部分CVE已修复，但攻击面仍广泛存在，当前Linux内核面临严峻安全挑战。 综合评分： 88 文章分类： 漏洞分析,漏洞POC,终端安全

旧攻击，新速度：研究人员优化页面缓存漏洞利用

原创

铸盾安全 铸盾安全

河南等级保护测评

2026年1月27日 00:01 河南

奥地利格拉茨理工大学的一个研究团队重现了 Linux 页面缓存攻击。

奥地利格拉茨理工大学 (TU Graz) 的一个研究团队重新发现了 Linux 页面缓存攻击，证明这种攻击并不像之前认为的那样不切实际。

页面缓存旨在存储基于文件的内存页，例如应用程序二进制文件、库文件和数据文件。通过在系统内存中保留最近访问过的磁盘数据的副本，操作系统可以更快地响应后续请求，从而显著提高整体性能。

早在 2019 年，奥地利大学和其他几个组织的研究人员就表明，Windows 和 Linux 页面缓存可以被滥用于本地和远程攻击。

专家们证明，攻击者可以利用在目标系统上运行的非特权恶意软件创建隐蔽通道，并通过网络钓鱼、键盘记录和密码重构等手段窃取敏感用户数据。

格拉茨工业大学的研究人员在周四发表的一篇新论文中详细介绍了针对 Linux（2003 年至今的内核版本）的新型页面缓存攻击技术，这些技术比以前的技术速度快得多。

例如，据参与该项目的研究人员之一 Sudheendra Raghav Neela 称，名为“刷新”（即从缓存中删除页面）的操作仅需 0.8 微秒，而之前的工作中则需要 149 毫秒。

“我们仅用 0.6-2.3 微秒就完成了一次完整的攻击循环——比之前的页面缓存攻击快 5 到 6 个数量级以上，”该研究人员称。

专家们演示了几个理论上的攻击场景，攻击者如果能够访问目标机器，就可以执行这些攻击。

通过监控与特定二进制文件关联的内存页，攻击者可以确定何时提示用户输入密码，从而在受害者预期输入敏感凭据的确切时刻启动同步网络钓鱼覆盖层或键盘记录器。

研究人员还表明，通过测量连续击键之间的精确时间间隔，可以进行击键间时间攻击来推断敏感信息，例如密码。

在 Docker 环境中，攻击者如果能够访问容器，就可以看到其他容器访问了哪些文件，从而破坏隔离，使攻击者能够监视在所谓安全的环境中运行的进程。

另一种攻击场景涉及 Discord 应用程序，攻击者可以利用该应用程序确定用户的特定操作，例如加入语音频道和播放视频。

最后，还有一种攻击——也是之前唯一没有演示过的攻击——它监控页面缓存，查找 Firefox 使用的特定库或资源文件，以识别目标用户访问的网站。

调查结果已于 2025 年 1 月报告给 Linux 内核安全团队，但只有编号为 CVE-2025-21691 的问题得到了缓解。

研究人员指出，攻击面依然存在，新论文中描述的所有技术仍然对当前的内核版本有效。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全 铸盾安全《旧攻击，新速度：研究人员优化页面缓存漏洞利用》