前言
Sentinelvalue(又名flagvalue/tripvalue/roguevalue/signalvalue/dummydata)是算法中的一个特殊值,通常在循环或递归算法中作为终止条件的特殊值存在。Chrome源码中有很多Sentinelvalue。from-leaking-thehole-to-chrome-renderer-rce和TheHoleNewWorld-howasmallleakwillsinkagreatbrowser(CVE-2021-38003)中,都介绍了如何通过泄露TheHole对象实现CVE-2021-38003和CVE-2022–1364的沙箱内任意代码执行。在我们发文阐述该缓解绕过大概一周后,谷歌团队也迅速把这两个在野CVE同步更新到了github上。时间节点如下:
因此,在edi范围内,可以任意读写。在具体做skype的exp时,虽然此时我们没有地址压缩带来内存读写的便利,且skype开启了aslr。但由于该文件太大,直接放在4GB内存中,黑客只需要对某个固定地址进行读写,便可以一个极大的概率读写skype文件中的内容。结合PE解析等传统思路,不难完成整个漏洞利用链。基于此,我们无法保证黑客不能在短时间内完成整个利用链的适配。
这次PatchGap实际上不止需要排查Issue1352549,由于一个新的绕过方法的公开,直接导致了类似Issue1314616和Issue1216437的利用难度大幅度降低,黑客几乎不需要花费任何研究成本,即可实现以往任何泄露uninitialized_oddball漏洞的完整利用,包括谷歌clusterfuzz提交的所有Issue中类似的漏洞。
总结
本文仅抛砖引玉,粗略来谈通过泄露Sentinelvalue中的uninitialized_Oddball来实现任意读原语。如第二部分所示,v8中的Sentinelvalue还有很多,实际上我们在测试Sentinelvalue的时候,也会经常容易遇到崩溃,不乏有非int3的崩溃出现。由于Uninitialized_Oddball和TheHole均已被证明可以在v8中实现环节绕过,我们有充分的理由怀疑其他Sentinelvalue也可能导致类似问题。
这也给我们一点提示:
01-其他uninitialized_Oddball泄露是否会轻松实现v8的RCE;
02-我们已经看到,谷歌会迅速将TheHole绕过进行修复,我们也看到利用垃圾回收实现ASLR绕过被长期搁置。这说明类似issue仍处在一个模糊边界,即是否被正式当作安全问题对待。
03-如果02中的问题被当作正式安全问题对待,那么在fuzzer中是否有必要考虑将%TheHole/uninitialized_Oddball等Sentinelvalue作为变量加入,来挖掘其他利用原语;
这里不得不强调的是,无论该类问题是否被正式当作安全问题对待,它都会大大缩减黑客实现完整利用周期。
参考资料
https://bugs.chromium.org/p/chromium/issues/detail?id=1314616
https://bugs.chromium.org/p/chromium/issues/detail?id=1352549
https://bugs.chromium.org/p/chromium/issues/detail?id=1216437
https://starlabs.sg/blog/2022/12-the-hole-new-world-how-a-small-leak-will-sink-a-great-browser-cve-2021-38003/
标签:VALUEALUVALROMethicalvaluesvaluechainEVAL DEFIAlfa Romeo Racing ORLEN Fan Token
加密货币一直是数字优先的行业。对大多数人来说,加密货币是迷人的,因为它几乎完全生活在数字空间,允许它将金融、社区、文化、治理和技术的所有独特方面结合到一个跨越司法管辖区的巨大相互关联的生态系统中.
1900/1/1 0:00:00注:本文经过适当删减 2009年,当中本聪向世界展示区块链时,加密货币算是第一个用例。比特币证明了区块链可以用来证明数字货币的真正所有权。在比特币推出十多年后,DeFi正在证明区块链还有许多其他用例.
1900/1/1 0:00:00一、项目简介 Read2N是一款Web3生活方式应用程序,具有内置的Game-Fi和Social-Fi元素.
1900/1/1 0:00:00品牌忠诚度计划可以成为品牌和名人与粉丝互动的有效方式,建立一个由忠实支持者组成的社区,并推动其内容或服务的用户参与度。不幸的是,大多数传统的品牌忠诚度计划通常是片面的。能实现真正的、长期的用户参与是很难的,甚至维持过程更难.
1900/1/1 0:00:00在2023年CMCCryptoPlaybook的第二部分投资中,Dragonfly的HaseebQureshi和TomSchmidt在FTX崩溃后,提出了风险投资公司的发展道路.
1900/1/1 0:00:002022年的加密寒冬之下,除了万亿市值被蒸发外,不少加密企业和创始人也面临了前所未有的亏损,甚至陷入破产清算的窘境。近日,《福布斯》发文称,自今年3月以来,加密领域最富有的17位投资者和创始人共损失约1160亿美元的个人财富.
1900/1/1 0:00:00