Aplicación del valor centinela en Chrome V8 y su impacto en la seguridad
El valor centinela es un valor especial en algoritmos, comúnmente utilizado como condición de terminación en algoritmos de bucle o recursivos. El código fuente del motor Chrome V8 utiliza ampliamente el valor centinela. Recientemente, investigadores de seguridad han descubierto que al filtrar objetos de valor centinela específicos, se puede lograr la ejecución de código arbitrario dentro de la sandbox de Chrome.
En V8 existen varios objetos nativos que no deberían filtrarse al entorno de JavaScript. Además del objeto TheHole que se expuso anteriormente, la filtración del objeto Uninitialized Oddball también puede causar problemas de seguridad. Este método apareció por primera vez en el Issue1352549 y todavía se puede utilizar en la última versión de V8, Google aún no lo ha corregido.
Este método tiene una gran versatilidad:
Se presentó por primera vez un POC que revela el oddball interno no inicializado en CVE-2021-30551(.
Issue1314616)CVE-2022-1486( también reveló directamente el objeto UninitializedOddball.
Issue1352549) sin CVE( presenta completamente el método de explotación.
Estos casos indican que la filtración de valores de Sentinel puede afectar múltiples versiones de software.
La mayoría de los objetos nativos de V8 están definidos en el archivo v8/src/roots/roots.h, dispuestos contiguamente en la memoria. Una vez que estos objetos se filtran al entorno de JavaScript, podría lograrse la fuga de la sandbox.
![Revelación exclusiva sobre cómo el valor de Sentinel filtrado elude Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-263e5651876fc00c4e0af0cfcd350210.webp(
Para validar este método, se puede modificar la función nativa %TheHole)( de V8 para revelar objetos Oddball no inicializados.
![Revelación exclusiva sobre cómo el valor de Sentinel filtrado elude el HardenProtect de Chrome v8])https://img-cdn.gateio.im/webp-social/moments-26c26345e3ec4effeea2e3e6b7cd8772.webp(
Este método puede eludir la protección HardenType de V8. La clave es que la función read de JavaScript optimizada no verifica adecuadamente las propiedades del objeto, lo que lleva a una confusión de tipos que permite la lectura y escritura arbitrarias.
![Revelación exclusiva sobre cómo el valor centinela filtrado elude Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-4c091ca0e153e953eb168e99762ff7cc.webp(
![Exclusivo: Revelando cómo el valor de Sentinel se filtra para eludir Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-1e3fda77c04bceafdcc40413824a5d37.webp(
![Revelación exclusiva sobre cómo el valor de Sentinel filtrado elude Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-ed89289bebf59d4b27f5bffb5511a8c5.webp(
![Revelación exclusiva sobre cómo el valor de Sentinel se filtró para eludir Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-0e52075003a8ee2ca492a5fc9f35c36b.webp(
![Revelación exclusiva sobre cómo el valor de centinela filtrado elude Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-230537e420d579aabd89bdd168b20878.webp(
Se sugiere que la solución de reparación consiste en agregar una verificación del mapa del array al devolver los elementos del array en la función optimizada, evitando calcular directamente el desplazamiento para devolver el valor.
![Exclusiva revelación sobre cómo el valor del centinela se filtra para eludir Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-506159c94c9e0988552cbcbd13d971e1.webp(
Es importante señalar que software como Skype puede seguir teniendo este tipo de vulnerabilidades. En la plataforma x86, debido a la falta de compresión de direcciones, el rango de lectura y escritura arbitraria es mayor. Un atacante podría aprovechar esta vulnerabilidad para implementar una cadena de explotación completa.
Además de Uninitialized Oddball, hay varios valores centinela en V8 que pueden presentar riesgos similares. Se recomienda investigar más a fondo los problemas de seguridad causados por la filtración de otros valores centinela y considerar la inclusión de escenarios relevantes en las pruebas de fuzzing.
Independientemente de si este tipo de problemas se clasifica formalmente como vulnerabilidades de seguridad, puede acortar significativamente el ciclo en el que un atacante puede lograr una explotación completa, lo cual merece una gran atención.
![Revelación exclusiva sobre cómo eludir Chrome v8 HardenProtect a través de la filtración de Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-e9e2000fd501b69ee3ee643a459a26dd.webp(
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
5
Republicar
Compartir
Comentar
0/400
LowCapGemHunter
· 08-05 12:29
¡Se ha encontrado otra vulnerabilidad, v8, ven a arreglarla!
Ver originalesResponder0
DegenWhisperer
· 08-04 10:02
Ah, ¿cómo es que Google no ha arreglado esto? Qué mal servicio.
Ver originalesResponder0
ApyWhisperer
· 08-04 09:59
Chrome se atasca To the moon y todavía está crujiente
Ver originalesResponder0
MidsommarWallet
· 08-04 09:49
¿De nuevo es culpa de Chrome? = = ¿Así de segura es?
Ver originalesResponder0
token_therapist
· 08-04 09:46
No hay vulnerabilidades letales, estoy aquí sin hacer nada.
La fuga de valor Sentinel del motor Chrome V8 provoca un riesgo de escape de la sandbox.
Aplicación del valor centinela en Chrome V8 y su impacto en la seguridad
El valor centinela es un valor especial en algoritmos, comúnmente utilizado como condición de terminación en algoritmos de bucle o recursivos. El código fuente del motor Chrome V8 utiliza ampliamente el valor centinela. Recientemente, investigadores de seguridad han descubierto que al filtrar objetos de valor centinela específicos, se puede lograr la ejecución de código arbitrario dentro de la sandbox de Chrome.
En V8 existen varios objetos nativos que no deberían filtrarse al entorno de JavaScript. Además del objeto TheHole que se expuso anteriormente, la filtración del objeto Uninitialized Oddball también puede causar problemas de seguridad. Este método apareció por primera vez en el Issue1352549 y todavía se puede utilizar en la última versión de V8, Google aún no lo ha corregido.
Este método tiene una gran versatilidad:
Se presentó por primera vez un POC que revela el oddball interno no inicializado en CVE-2021-30551(.
Issue1314616)CVE-2022-1486( también reveló directamente el objeto UninitializedOddball.
Issue1352549) sin CVE( presenta completamente el método de explotación.
Estos casos indican que la filtración de valores de Sentinel puede afectar múltiples versiones de software.
La mayoría de los objetos nativos de V8 están definidos en el archivo v8/src/roots/roots.h, dispuestos contiguamente en la memoria. Una vez que estos objetos se filtran al entorno de JavaScript, podría lograrse la fuga de la sandbox.
![Revelación exclusiva sobre cómo el valor de Sentinel filtrado elude Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-263e5651876fc00c4e0af0cfcd350210.webp(
Para validar este método, se puede modificar la función nativa %TheHole)( de V8 para revelar objetos Oddball no inicializados.
![Revelación exclusiva sobre cómo el valor de Sentinel filtrado elude el HardenProtect de Chrome v8])https://img-cdn.gateio.im/webp-social/moments-26c26345e3ec4effeea2e3e6b7cd8772.webp(
Este método puede eludir la protección HardenType de V8. La clave es que la función read de JavaScript optimizada no verifica adecuadamente las propiedades del objeto, lo que lleva a una confusión de tipos que permite la lectura y escritura arbitrarias.
![Revelación exclusiva sobre cómo el valor centinela filtrado elude Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-4c091ca0e153e953eb168e99762ff7cc.webp(
![Exclusivo: Revelando cómo el valor de Sentinel se filtra para eludir Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-1e3fda77c04bceafdcc40413824a5d37.webp(
![Revelación exclusiva sobre cómo el valor de Sentinel filtrado elude Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-ed89289bebf59d4b27f5bffb5511a8c5.webp(
![Revelación exclusiva sobre cómo el valor de Sentinel se filtró para eludir Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-0e52075003a8ee2ca492a5fc9f35c36b.webp(
![Revelación exclusiva sobre cómo el valor de centinela filtrado elude Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-230537e420d579aabd89bdd168b20878.webp(
Se sugiere que la solución de reparación consiste en agregar una verificación del mapa del array al devolver los elementos del array en la función optimizada, evitando calcular directamente el desplazamiento para devolver el valor.
![Exclusiva revelación sobre cómo el valor del centinela se filtra para eludir Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-506159c94c9e0988552cbcbd13d971e1.webp(
Es importante señalar que software como Skype puede seguir teniendo este tipo de vulnerabilidades. En la plataforma x86, debido a la falta de compresión de direcciones, el rango de lectura y escritura arbitraria es mayor. Un atacante podría aprovechar esta vulnerabilidad para implementar una cadena de explotación completa.
Además de Uninitialized Oddball, hay varios valores centinela en V8 que pueden presentar riesgos similares. Se recomienda investigar más a fondo los problemas de seguridad causados por la filtración de otros valores centinela y considerar la inclusión de escenarios relevantes en las pruebas de fuzzing.
Independientemente de si este tipo de problemas se clasifica formalmente como vulnerabilidades de seguridad, puede acortar significativamente el ciclo en el que un atacante puede lograr una explotación completa, lo cual merece una gran atención.
![Revelación exclusiva sobre cómo eludir Chrome v8 HardenProtect a través de la filtración de Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-e9e2000fd501b69ee3ee643a459a26dd.webp(