Дослідження проблем безпеки значення Sentinel у двигуні Chrome V8

Сентинельне значення - це спеціальне значення в алгоритмі, яке зазвичай використовується як умова завершення в циклі або рекурсивному алгоритмі. У вихідному коді Chrome існує кілька різних сентинельних значень, деякі з яких можуть призвести до вразливостей безпеки. У цій статті обговорюється обходження механізму захисту HardenProtect двигуна Chrome V8 шляхом витоку неініціалізованого об'єкта Oddball.

Значення Sentinel у V8

У V8-движку визначено кілька рідних об'єктів, які в пам'яті розташовані послідовно. Якщо рідні об'єкти, які не повинні бути вивчені в JavaScript, будуть вивчені, це може призвести до виконання будь-якого коду в пісочниці.

! Ексклюзивне розкриття обходу Chrome v8 HardenProtect шляхом витоку значення Sentinel

Обхід захисту HardenType

Змінивши нативні функції V8, можна витікати об'єкти Uninitialized Oddball у JavaScript. Використовуючи цей витеклий об'єкт, можна здійснювати відносно будь-які операції читання та запису, обминаючи захист HardenType.

Конкретний метод реалізації:

1. Змінити функцію %TheHole(), щоб вона повертала об'єкт Uninitialized Oddball.
2. Створіть спеціальний код JavaScript, скориставшись відсутністю перевірки масиву map в оптимізованій функції, щоб безпосередньо обчислити зсув і повернути значення масиву.
3. Через типове змішування досягти будь-якого читання та запису

! Ексклюзивне розкриття обходу Chrome v8 HardenProtect шляхом витоку значення Sentinel

! Ексклюзивне розкриття обходу Chrome v8 HardenProtect шляхом витоку значення Sentinel

! Ексклюзивне розкриття обходу Chrome v8 HardenProtect шляхом витоку значення Sentinel

! Ексклюзивне розкриття обходу Chrome v8 HardenProtect шляхом витоку значення Sentinel

! Ексклюзивне розкриття обходу Chrome v8 HardenProtect шляхом витоку значення Sentinel

PatchGap ризикова інформація

Цей метод обходу стосується не лише останньої версії V8, але й може вплинути на програмне забезпечення, що використовує старі версії V8. Наприклад, Skype досі не виправив цю вразливість. У архітектурі x86 через відсутність стиснення адрес діапазон для довільного читання та запису може бути більшим.

Крім того, цей новий метод обходу може також зменшити складність експлуатації інших пов'язаних вразливостей, таких як Issue1314616 та Issue1216437.

! Ексклюзивне розкриття обходу Chrome v8 HardenProtect шляхом витоку значення Sentinel

! Ексклюзивне розкриття обходу Chrome v8 HardenProtect шляхом витоку значення Sentinel

Підсумок та роздуми

У V8 також існує безліч інших значень Sentinel, які можуть мати такі ж ризики безпеки. Майбутні напрямки досліджень можуть включати:

1. Дослідження інших витоків Uninitialized Oddball, чи можуть вони також реалізувати RCE V8
2. Розгляньте можливість додавання значення Sentinel як змінної в тестуванні на помилки, щоб виявити більше потенційних уразливостей.
3. Зверніть увагу на те, чи будуть такі питання офіційно вважатися проблемами безпеки, та оцініть їхній вплив на скорочення повного циклу використання хакерами.

Незалежно від того, чи класифікуються ці питання офіційно як проблеми безпеки, вони можуть значно скоротити час, необхідний хакерам для повного використання. Тому постійна увага та дослідження безпекових питань, пов'язаних із Sentinel value, є вкрай важливими.

! Ексклюзивне розкриття обходу Chrome v8 HardenProtect шляхом витоку значення Sentinel