Application de la valeur Sentinel dans Chrome V8 et ses impacts sur la sécurité
La valeur sentinelle est une valeur spéciale dans les algorithmes, souvent utilisée comme condition d'arrêt pour les algorithmes de boucle ou de récursion. Le code source du moteur Chrome V8 utilise largement la valeur sentinelle. Récemment, des chercheurs en sécurité ont découvert qu'en divulguant des objets de valeur sentinelle spécifiques, il est possible d'exécuter du code arbitraire dans le bac à sable de Chrome.
Il existe plusieurs objets natifs dans V8 qui ne devraient pas être divulgués dans l'environnement JavaScript. En plus de l'objet TheHole précédemment exposé, la divulgation de l'objet Uninitialized Oddball peut également entraîner des problèmes de sécurité. Cette méthode est apparue pour la première fois dans l'Issue1352549 et est toujours disponible dans la dernière version de V8, Google ne l'ayant pas encore corrigée.
Cette méthode présente une grande polyvalence :
Issue1216437(CVE-2021-30551) a donné pour la première fois un POC sur la fuite de internal uninitialized oddball.
L'issue 1314616( CVE-2022-1486) a également directement divulgué l'objet UninitializedOddball.
Issue1352549( fournit une méthode d'exploitation complète dans CVE).
Ces cas montrent que l'exploitation de la fuite de valeur Sentinel peut affecter plusieurs versions de logiciels.
La plupart des objets natifs de V8 sont définis dans le fichier v8/src/roots/roots.h, disposés de manière adjacente en mémoire. Une fois que ces objets fuient dans l'environnement JavaScript, il peut être possible de réaliser une échappée de sandbox.
Pour valider cette méthode, il est possible de révéler l'objet Oddball non initialisé en modifiant la fonction native %TheHole() de V8.
Cette méthode permet de contourner la protection HardenType de V8. La clé réside dans le fait que la fonction read JavaScript optimisée ne vérifie pas correctement les propriétés de l'objet, ce qui entraîne un mélange de types permettant des lectures et écritures arbitraires.
La solution recommandée consiste à ajouter un contrôle du tableau map lors du retour des éléments du tableau par la fonction optimisée, afin d'éviter de calculer directement les valeurs de retour par décalage.
Il est à noter que des logiciels comme Skype peuvent encore présenter ce type de vulnérabilité. Sur la plateforme x86, en raison de l'absence de compression d'adresse, la plage de lecture et d'écriture arbitraire est plus grande. Un attaquant pourrait exploiter cette vulnérabilité pour réaliser une chaîne d'exploitation complète.
En plus de l'Uninitialized Oddball, il existe d'autres valeurs Sentinel dans V8 qui peuvent présenter des risques similaires. Il est conseillé d'étudier davantage les problèmes de sécurité causés par les fuites d'autres valeurs Sentinel et d'envisager d'inclure des scénarios connexes dans les tests de fuzzing.
Que ces problèmes soient officiellement classés comme des vulnérabilités de sécurité ou non, ils peuvent considérablement réduire le délai dont disposent les attaquants pour réaliser une exploitation complète, ce qui mérite une attention particulière.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
5
Reposter
Partager
Commentaire
0/400
LowCapGemHunter
· 08-05 12:29
Encore une faille découverte, v8, viens réparer.
Voir l'originalRépondre0
DegenWhisperer
· 08-04 10:02
Ah ça, pourquoi Google n'a pas corrigé ça ? C'est de la mauvaise nourriture.
Voir l'originalRépondre0
ApyWhisperer
· 08-04 09:59
Chrome a du mal à décoller To the moon encore croustillant
Voir l'originalRépondre0
MidsommarWallet
· 08-04 09:49
C'est encore la faute de Chrome = = C'est ça la sécurité ?
Voir l'originalRépondre0
token_therapist
· 08-04 09:46
Il n'y a pas de vulnérabilités nuisibles, je ne fais rien.
La fuite de la valeur Sentinel du moteur Chrome V8 entraîne un risque d'évasion de sandbox.
Application de la valeur Sentinel dans Chrome V8 et ses impacts sur la sécurité
La valeur sentinelle est une valeur spéciale dans les algorithmes, souvent utilisée comme condition d'arrêt pour les algorithmes de boucle ou de récursion. Le code source du moteur Chrome V8 utilise largement la valeur sentinelle. Récemment, des chercheurs en sécurité ont découvert qu'en divulguant des objets de valeur sentinelle spécifiques, il est possible d'exécuter du code arbitraire dans le bac à sable de Chrome.
Il existe plusieurs objets natifs dans V8 qui ne devraient pas être divulgués dans l'environnement JavaScript. En plus de l'objet TheHole précédemment exposé, la divulgation de l'objet Uninitialized Oddball peut également entraîner des problèmes de sécurité. Cette méthode est apparue pour la première fois dans l'Issue1352549 et est toujours disponible dans la dernière version de V8, Google ne l'ayant pas encore corrigée.
Cette méthode présente une grande polyvalence :
Issue1216437(CVE-2021-30551) a donné pour la première fois un POC sur la fuite de internal uninitialized oddball.
L'issue 1314616( CVE-2022-1486) a également directement divulgué l'objet UninitializedOddball.
Issue1352549( fournit une méthode d'exploitation complète dans CVE).
Ces cas montrent que l'exploitation de la fuite de valeur Sentinel peut affecter plusieurs versions de logiciels.
La plupart des objets natifs de V8 sont définis dans le fichier v8/src/roots/roots.h, disposés de manière adjacente en mémoire. Une fois que ces objets fuient dans l'environnement JavaScript, il peut être possible de réaliser une échappée de sandbox.
Pour valider cette méthode, il est possible de révéler l'objet Oddball non initialisé en modifiant la fonction native %TheHole() de V8.
Cette méthode permet de contourner la protection HardenType de V8. La clé réside dans le fait que la fonction read JavaScript optimisée ne vérifie pas correctement les propriétés de l'objet, ce qui entraîne un mélange de types permettant des lectures et écritures arbitraires.
La solution recommandée consiste à ajouter un contrôle du tableau map lors du retour des éléments du tableau par la fonction optimisée, afin d'éviter de calculer directement les valeurs de retour par décalage.
Il est à noter que des logiciels comme Skype peuvent encore présenter ce type de vulnérabilité. Sur la plateforme x86, en raison de l'absence de compression d'adresse, la plage de lecture et d'écriture arbitraire est plus grande. Un attaquant pourrait exploiter cette vulnérabilité pour réaliser une chaîne d'exploitation complète.
En plus de l'Uninitialized Oddball, il existe d'autres valeurs Sentinel dans V8 qui peuvent présenter des risques similaires. Il est conseillé d'étudier davantage les problèmes de sécurité causés par les fuites d'autres valeurs Sentinel et d'envisager d'inclure des scénarios connexes dans les tests de fuzzing.
Que ces problèmes soient officiellement classés comme des vulnérabilités de sécurité ou non, ils peuvent considérablement réduire le délai dont disposent les attaquants pour réaliser une exploitation complète, ce qui mérite une attention particulière.