Il developer Gezine (@gezine_dev) ha rivelato su X una vulnerabilita nota attraverso un report diramato sulla piattaforma HackerOne e identificato con il numero #3452696, relativo al sottosistema BD-J (Blu-ray Disc Java) della PlayStation 4.
Il report descrive un problema di privilege escalation nel sottosistema BD-J (Blu-ray Disc Java), causato da una race condition di tipo TOCTOU (Time-of-Check to Time-of-Use).
PS4 (13.00 and 13.02) BD-J bug disclosed
It was fun working on this exploithttps://t.co/d9t4HC5rhJ
— Gezine (@gezine_dev) April 29, 2026
Il BD-J rappresenta da anni uno dei vettori più interessanti nella sicurezza delle console PlayStation. Si tratta di un ambiente Java basato sullo standard BD-Java (GEM profile), integrato nel lettore Blu-ray della PS4, che opera con privilegi superiori rispetto alle applicazioni tradizionali.
Il processo bdj o bdjstack ha accesso ad API native tramite JNI e può interagire con componenti di sistema che normalmente non sono disponibili alle applicazioni standard.
A differenza degli exploit basati su WebKit, questo vettore richiede la preparazione di un disco Blu-ray con contenuti BD-J modificati, rendendolo più difficile da disattivare senza compromettere la compatibilità con i supporti fisici.
Il bug individuato da Gezine nasce da una incoerenza tra due componenti del sistema BD-J: il modulo di enforcement delle policy di sicurezza e il class loader responsabile della gestione dei JAR. In particolare, il problema emerge dal modo in cui vengono gestiti i percorsi dei file e le entry dei nested JAR.
Durante la fase di controllo delle policy, la classe BdjPolicyImpl utilizza getCanonicalPath() per normalizzare i percorsi e prevenire attacchi di path traversal.
In questo modo, un percorso manipolato che contiene sequenze come “../” viene risolto correttamente in un path assoluto, permettendo o negando i permessi in base alla posizione finale del file.
In alcuni casi, questo può portare all’assegnazione di AllPermission se il file viene risolto all’interno di directory considerate sicure come lib/ext.
Tuttavia, nella fase successiva di caricamento effettivo delle classi, il comportamento cambia. Il class loader JarZipFile non applica la stessa normalizzazione dei percorsi, ma interpreta la parte dopo “.jar/” come una entry letterale all’interno del file JAR.
Questo crea una discrepanza tra il controllo di sicurezza e l’uso reale della risorsa. Di conseguenza, un percorso apparentemente validato può essere interpretato in modo diverso al momento dell’esecuzione, generando la condizione TOCTOU.
Attraverso questa incoerenza, un nested JAR contenuto all’interno del disco Blu-ray può essere caricato e interpretato come parte del sistema, portando all’esecuzione di codice non previsto con privilegi elevati.
Il meccanismo sfrutta anche il virtual file system del BD-J, che mappa il contenuto del disco in percorsi come /VP/BDMV/JAR, consentendo la manipolazione delle entry interne ai JAR in modo non uniforme tra le diverse fasi del controllo.
Un ulteriore elemento rilevante è il bypass della verifica delle firme. Il sistema BD-J di Sony applica controlli sulle applicazioni in base all’Application ID (AID), ma solo all’interno di determinati range considerati firmati.
Gli AID fuori da questi intervalli possono evitare la validazione, permettendo l’esecuzione di codice non firmato in combinazione con la vulnerabilità di parsing.
Nel complesso, il risultato è una catena di exploit che consente esecuzione di codice in userland con privilegi elevati all’interno del processo BD player. Il comportamento può essere ulteriormente sfruttato per preparare una eventuale escalation verso il kernel, qualora siano disponibili primitive aggiuntive.
Dal punto di vista della scena homebrew, l’impatto varia a seconda del firmware. Su 13.00 la vulnerabilità può essere combinata con l’exploit kernel Poopsploit, rendendo possibile una catena completa verso un jailbreak funzionale o HEN.
Su 13.02 invece il nuovo BD-J fornisce un accesso userland stabile, ma manca ancora un exploit kernel pubblico affidabile per completare la catena.
Questa nuova scoperta si inserisce nel contesto più ampio delle ricerche precedenti di Gezine, come BD-JB-1250, che aveva già dimostrato la possibilità di ottenere esecuzione di codice su firmware fino alla 12.52.
Rispetto a quel caso, il nuovo exploit sfrutta una primitiva diversa, legata alle modifiche introdotte nelle versioni 13.xx del firmware.
La vulnerabilità conferma ancora una volta che il sottosistema BD-J rimane una superficie di attacco estremamente rilevante sulla console PlayStation 4.
La combinazione di gestione non uniforme dei path, nested JAR e controlli di sicurezza non sincronizzati crea una classica condizione TOCTOU difficile da mitigare senza impattare la compatibilità con i contenuti Blu-ray.
Per la community, questo significa la disponibilità di un nuovo punto di ingresso userland su firmware recenti e la possibilità di sviluppare ulteriori catene di exploit in futuro, una volta disponibile un supporto kernel adeguato.
In particolare, chi si trova su firmware 13.00 è nella posizione più favorevole, mentre su 13.02 è consigliabile evitare aggiornamenti in attesa di ulteriori sviluppi.
Alcune parti di questo articolo sono state generate con l’aiuto dell’intelligenza artificiale. Questo articolo contiene link affiliati a Amazon. Se acquisti tramite questi link, potrei guadagnare una commissione senza costi aggiuntivi per te.🔥 Prodotti in promozione e articoli più venduti: PS4
Vedi altri prodotti PS4
Ultimo aggiornamento 2026-05-21 / Link di affiliazione / Immagini da Amazon Product Advertising API
