Nilai Sentinel adalah nilai khusus dalam algoritma, yang sering digunakan sebagai kondisi akhir untuk algoritma loop atau rekursi. Nilai khusus ini banyak digunakan dalam kode sumber Chrome. Penelitian terbaru menunjukkan bahwa dengan membocorkan objek nilai Sentinel tertentu, dapat dilakukan eksekusi kode arbitrer di dalam sandbox Chrome.
Artikel ini akan membahas metode untuk memanfaatkan objek Uninitialized Oddball untuk melewati mekanisme HardenProtect Chrome v8. Metode ini pertama kali diusulkan oleh anggota Project0 dalam Issue1352549, dan saat ini masih dapat digunakan di versi terbaru V8, Google belum memperbaiki hal ini.
Perlu dicatat bahwa metode ini memiliki universalitas yang kuat:
Issue1216437(CVE-2021-30551) untuk pertama kalinya memberikan poc yang membocorkan internal uninitialized oddball.
Issue1314616(CVE-2022-1486) juga secara langsung mengungkapkan objek UninitializedOddball.
Issue1352549( Tidak ada CVE) yang menunjukkan rantai eksploitasi lengkap dari metode tersebut.
Kasus-kasus ini menunjukkan bahwa metode bypass ini dapat memengaruhi beberapa versi perangkat lunak. Hingga saat ini, perangkat lunak seperti Skype belum memperbaiki kerentanan ini.
Nilai Sentinel di V8
Dalam kode sumber V8, didefinisikan banyak objek bawaan, termasuk berbagai nilai Sentinel. Objek-objek ini disusun berurutan di dalam memori. Begitu objek bawaan yang tidak seharusnya bocor diekspos ke JavaScript, dapat memungkinkan eksekusi kode sembarang di dalam sandbox.
Untuk memverifikasi metode ini, kita dapat memodifikasi fungsi V8 %TheHole() sehingga mengembalikan objek Uninitialized Oddball.
Menghindari HardenType
Kode berikut menunjukkan bagaimana memanfaatkan objek Uninitialized Oddball yang bocor untuk melakukan pembacaan sembarang:
javascript
function read(obj, idx) {
return obj[idx];
}
let uninitialized_oddball = %GetUninitialized();
let ab = new ArrayBuffer(8);
let f64 = new Float64Array(ab);
let u32 = new Uint32Array(ab);
untuk (biarkan i = 0; i < 0x10000; i++) {
read({prop: 1.1}, 0);
}
%OptimizeFunctionOnNextCall(baca);
let val = read({prop: uninitialized_oddball}, 0x1234);
f64[0] = val;
console.log(u32[0].toString(16), u32[1].toString(16));
Kode rakitan fungsi read yang dioptimalkan menunjukkan bahwa fungsi hanya memeriksa atribut prop dari obj, tanpa memeriksa nilai obj.prop dan langsung menghitung offset, menyebabkan kebingungan tipe, dan memungkinkan pembacaan sembarang.
Saran solusi perbaikan: saat fungsi yang dioptimalkan mengembalikan elemen array, tambahkan pemeriksaan terhadap peta array untuk menghindari perhitungan offset langsung.
Peringatan PatchGap
Metode bypass ini tidak hanya mempengaruhi kerentanan sejarah, tetapi juga dapat mempengaruhi perangkat lunak saat ini. Misalnya, Skype saat ini belum memperbaiki masalah ini. Di platform x86, karena kurangnya kompresi alamat, rentang baca dan tulis sembarang lebih besar.
PatchGap kali ini tidak hanya berkaitan dengan Issue1352549, tetapi juga secara signifikan mengurangi kesulitan pemanfaatan masalah serupa seperti Issue1314616 dan Issue1216437. Disarankan agar vendor melakukan pemeriksaan menyeluruh terhadap kerentanan terkait.
Ringkasan
Artikel ini memperkenalkan metode untuk melakukan pembacaan sembarang di V8 dengan memanfaatkan Uninitialized Oddball. Di V8 juga terdapat berbagai nilai Sentinel lainnya, yang mungkin memiliki potensi masalah keamanan serupa. Disarankan untuk melakukan penelitian lebih lanjut:
Apakah kebocoran nilai Sentinel lainnya dapat memungkinkan V8 RCE
Tambahkan nilai Sentinel sebagai variabel ke dalam Fuzzer,挖掘新的利用原语
Menghadapi risiko keamanan yang mungkin ditimbulkan oleh masalah semacam ini
Apakah masalah ini secara resmi dianggap sebagai celah keamanan atau tidak, itu dapat secara signifikan memperpendek siklus pemanfaatan penuh oleh peretas. Semoga artikel ini dapat menarik perhatian pihak-pihak terkait.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
6
Posting ulang
Bagikan
Komentar
0/400
WinterWarmthCat
· 9jam yang lalu
Postingan detail yang kuat harus mendapat dukungan
Chrome v8 HardenProtect Bypass: Memanfaatkan Sentinel Value untuk Melaksanakan Kode Arbitrer
Nilai Sentinel dan Bypass HardenProtect Chrome v8
Nilai Sentinel adalah nilai khusus dalam algoritma, yang sering digunakan sebagai kondisi akhir untuk algoritma loop atau rekursi. Nilai khusus ini banyak digunakan dalam kode sumber Chrome. Penelitian terbaru menunjukkan bahwa dengan membocorkan objek nilai Sentinel tertentu, dapat dilakukan eksekusi kode arbitrer di dalam sandbox Chrome.
Artikel ini akan membahas metode untuk memanfaatkan objek Uninitialized Oddball untuk melewati mekanisme HardenProtect Chrome v8. Metode ini pertama kali diusulkan oleh anggota Project0 dalam Issue1352549, dan saat ini masih dapat digunakan di versi terbaru V8, Google belum memperbaiki hal ini.
Perlu dicatat bahwa metode ini memiliki universalitas yang kuat:
Issue1216437(CVE-2021-30551) untuk pertama kalinya memberikan poc yang membocorkan internal uninitialized oddball.
Issue1314616(CVE-2022-1486) juga secara langsung mengungkapkan objek UninitializedOddball.
Issue1352549( Tidak ada CVE) yang menunjukkan rantai eksploitasi lengkap dari metode tersebut.
Kasus-kasus ini menunjukkan bahwa metode bypass ini dapat memengaruhi beberapa versi perangkat lunak. Hingga saat ini, perangkat lunak seperti Skype belum memperbaiki kerentanan ini.
Nilai Sentinel di V8
Dalam kode sumber V8, didefinisikan banyak objek bawaan, termasuk berbagai nilai Sentinel. Objek-objek ini disusun berurutan di dalam memori. Begitu objek bawaan yang tidak seharusnya bocor diekspos ke JavaScript, dapat memungkinkan eksekusi kode sembarang di dalam sandbox.
Untuk memverifikasi metode ini, kita dapat memodifikasi fungsi V8 %TheHole() sehingga mengembalikan objek Uninitialized Oddball.
Menghindari HardenType
Kode berikut menunjukkan bagaimana memanfaatkan objek Uninitialized Oddball yang bocor untuk melakukan pembacaan sembarang:
javascript function read(obj, idx) { return obj[idx]; }
let uninitialized_oddball = %GetUninitialized(); let ab = new ArrayBuffer(8); let f64 = new Float64Array(ab); let u32 = new Uint32Array(ab);
untuk (biarkan i = 0; i < 0x10000; i++) { read({prop: 1.1}, 0);
}
%OptimizeFunctionOnNextCall(baca);
let val = read({prop: uninitialized_oddball}, 0x1234); f64[0] = val; console.log(u32[0].toString(16), u32[1].toString(16));
Kode rakitan fungsi read yang dioptimalkan menunjukkan bahwa fungsi hanya memeriksa atribut prop dari obj, tanpa memeriksa nilai obj.prop dan langsung menghitung offset, menyebabkan kebingungan tipe, dan memungkinkan pembacaan sembarang.
Saran solusi perbaikan: saat fungsi yang dioptimalkan mengembalikan elemen array, tambahkan pemeriksaan terhadap peta array untuk menghindari perhitungan offset langsung.
Peringatan PatchGap
Metode bypass ini tidak hanya mempengaruhi kerentanan sejarah, tetapi juga dapat mempengaruhi perangkat lunak saat ini. Misalnya, Skype saat ini belum memperbaiki masalah ini. Di platform x86, karena kurangnya kompresi alamat, rentang baca dan tulis sembarang lebih besar.
PatchGap kali ini tidak hanya berkaitan dengan Issue1352549, tetapi juga secara signifikan mengurangi kesulitan pemanfaatan masalah serupa seperti Issue1314616 dan Issue1216437. Disarankan agar vendor melakukan pemeriksaan menyeluruh terhadap kerentanan terkait.
Ringkasan
Artikel ini memperkenalkan metode untuk melakukan pembacaan sembarang di V8 dengan memanfaatkan Uninitialized Oddball. Di V8 juga terdapat berbagai nilai Sentinel lainnya, yang mungkin memiliki potensi masalah keamanan serupa. Disarankan untuk melakukan penelitian lebih lanjut:
Apakah masalah ini secara resmi dianggap sebagai celah keamanan atau tidak, itu dapat secara signifikan memperpendek siklus pemanfaatan penuh oleh peretas. Semoga artikel ini dapat menarik perhatian pihak-pihak terkait.