探究通過泄露Sentinel Value繞過Chrome v8 HardenProtect機制

引言

Sentinel value是算法中的一種特殊值，常用於循環或遞歸算法的終止條件。Chrome源碼中廣泛使用了這種特殊值。近期有研究表明,通過泄露TheHole對象可以實現某些Chrome沙箱內的任意代碼執行漏洞。本文將探討另一個相關的對象 - Uninitialized Oddball,以及它如何被用於繞過Chrome的安全機制。

值得注意的是,目前最新版V8引擎仍存在這個問題。這種方法具有相當的通用性,可能影響多個歷史漏洞的利用難度。

V8中的Sentinel Value

V8源碼中定義了許多原生對象,它們在內存中相鄰排列。如果這些對象被錯誤地暴露給JavaScript環境,就可能導致沙箱逃逸。前文提到的TheHole對象泄露就是一個典型案例。

我們可以通過修改V8的原生函數來驗證這一點。例如,修改%TheHole()函數的偏移量,使其返回Uninitialized Oddball對象。

繞過HardenType保護

利用Uninitialized Oddball對象可以實現相對任意的內存讀取。關鍵在於優化後的JavaScript代碼沒有正確檢查對象屬性,直接按JavaScript語義計算偏移並訪問數組元素,從而造成類型混淆。

建議的修復方案是在優化函數返回數組元素時,添加對數組map的檢查,避免直接計算偏移。

PatchGap風險提示

分析發現,一些軟件可能存在PatchGap問題,尚未修復這個漏洞。以Skype爲例,由於其文件較大且直接加載到內存,攻擊者可能通過固定地址讀寫來實現利用。

這個新的繞過方法的公開,可能會降低一些歷史漏洞的利用難度。建議相關方面重新評估受影響的軟件和漏洞。

總結

本文簡要討論了通過泄露Uninitialized Oddball等Sentinel value來實現任意讀取的可能性。V8中還存在其他Sentinel value,它們也可能存在類似安全隱患。這提示我們:

1. 其他Uninitialized Oddball泄露可能導致V8沙箱逃逸
2. 此類問題的安全定位仍不明確
3. 可考慮將Sentinel value作爲變量加入fuzzer測試

無論如何,這類問題都可能大大縮短攻擊者的完整利用週期,值得高度重視。