Раскрытие обхода песочницы Chrome V8: использование Sentinel Value для выполнения произвольного кода

Значение-сигнал является специальным значением, используемым в алгоритмах в качестве условия завершения, и широко встречается в исходном коде Chrome. Ранее проводились исследования, которые показали, что утечка объекта TheHole может привести к выполнению произвольного кода в песочнице Chrome. В данной статье будет обсужден еще один не исправленный метод обхода - утечка неинициализированного объекта Oddball.

Этот метод впервые появился в Issue 1352549, представленном участником Project 0, и в настоящее время по-прежнему доступен в последней версии V8. Стоит отметить, что подобные проблемы утечки встроенных объектов ранее много раз возникали в важных уязвимостях, таких как CVE-2021-30551 и CVE-2022-1486. Это указывает на то, что такие проблемы имеют общую природу и могут затрагивать множество программ, использующих движок V8.

Большинство встроенных объектов в V8 определены в файле v8/src/roots/roots.h, и они располагаются в памяти по порядку. Как только эти объекты, которые не должны быть раскрыты в JavaScript, становятся доступными, это может привести к утечке из песочницы. Мы можем проверить этот метод, изменив нативные функции V8, например, изменив функцию %TheHole() так, чтобы она возвращала Uninitialized Oddball.

! Эксклюзивное раскрытие обхода Chrome v8 HardenProtect путем утечки сигнального значения

Используя этот метод, можно обойти защиту HardenType и реализовать относительно произвольное чтение и запись в память. В конкретной реализации оптимизированный код JavaScript будет пропускать проверку типов элементов массива и напрямую вычислять смещение для доступа к памяти. Эта проблема немного отличается в архитектурах x86 и x64, но в обоих случаях может быть использована.

Уязвимость в настоящее время не была исправлена в некоторых программах, использующих движок V8, таких как Skype (, что создает потенциальные риски безопасности. Хакеры могут использовать этот PatchGap для реализации полного exploit-цепочки.

! [Эксклюзивное раскрытие обхода Chrome v8 HardenProtect путем утечки значения Sentinel])https://img-cdn.gateio.im/webp-social/moments-1e3fda77c04bceafdcc40413824a5d37.webp(

Помимо Uninitialized Oddball, в V8 существуют и другие значения Sentinel, которые также могут привести к аналогичным проблемам безопасности. Это подсказывает нам, что необходимо пересмотреть влияние утечки значений Sentinel на безопасность и рассмотреть возможность включения связанных переменных в тестирование на неустойчивость. Независимо от того, рассматриваются ли такие проблемы как официальные уязвимости безопасности, они могут значительно сократить время, необходимое атакующим для достижения полного использования.

! [Эксклюзивное раскрытие обхода Chrome v8 HardenProtect путем утечки сигнального значения])https://img-cdn.gateio.im/webp-social/moments-ed89289bebf59d4b27f5bffb5511a8c5.webp(

![Эксклюзивное раскрытие обхода защиты Chrome v8 HardenProtect через утечку Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-0e52075003a8ee2ca492a5fc9f35c36b.webp(

![Эксклюзивное разоблачение обхода HardenProtect Chrome v8 через утечку Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-230537e420d579aabd89bdd168b20878.webp(

![Эксклюзивное разоблачение обхода Chrome v8 HardenProtect через утечку Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-506159c94c9e0988552cbcbd13d971e1.webp(

![Эксклюзивное раскрытие обхода защиты HardenProtect Chrome v8 через утечку Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-e9e2000fd501b69ee3ee643a459a26dd.webp(