探究通过泄露Sentinel Value绕过Chrome v8 HardenProtect机制

引言

Sentinel value是算法中的一种特殊值，常用于循环或递归算法的终止条件。Chrome源码中广泛使用了这种特殊值。近期有研究表明,通过泄露TheHole对象可以实现某些Chrome沙箱内的任意代码执行漏洞。本文将探讨另一个相关的对象 - Uninitialized Oddball,以及它如何被用于绕过Chrome的安全机制。

值得注意的是,目前最新版V8引擎仍存在这个问题。这种方法具有相当的通用性,可能影响多个历史漏洞的利用难度。

V8中的Sentinel Value

V8源码中定义了许多原生对象,它们在内存中相邻排列。如果这些对象被错误地暴露给JavaScript环境,就可能导致沙箱逃逸。前文提到的TheHole对象泄露就是一个典型案例。

我们可以通过修改V8的原生函数来验证这一点。例如,修改%TheHole()函数的偏移量,使其返回Uninitialized Oddball对象。

绕过HardenType保护

利用Uninitialized Oddball对象可以实现相对任意的内存读取。关键在于优化后的JavaScript代码没有正确检查对象属性,直接按JavaScript语义计算偏移并访问数组元素,从而造成类型混淆。

建议的修复方案是在优化函数返回数组元素时,添加对数组map的检查,避免直接计算偏移。

PatchGap风险提示

分析发现,一些软件可能存在PatchGap问题,尚未修复这个漏洞。以Skype为例,由于其文件较大且直接加载到内存,攻击者可能通过固定地址读写来实现利用。

这个新的绕过方法的公开,可能会降低一些历史漏洞的利用难度。建议相关方面重新评估受影响的软件和漏洞。

总结

本文简要讨论了通过泄露Uninitialized Oddball等Sentinel value来实现任意读取的可能性。V8中还存在其他Sentinel value,它们也可能存在类似安全隐患。这提示我们:

1. 其他Uninitialized Oddball泄露可能导致V8沙箱逃逸
2. 此类问题的安全定位仍不明确
3. 可考虑将Sentinel value作为变量加入fuzzer测试

无论如何,这类问题都可能大大缩短攻击者的完整利用周期,值得高度重视。