以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > TUSD > Info

B20:獨家揭秘通過泄露Sentinel Value繞過Chrome v8 HardenProtect

Author:

Time:1900/1/1 0:00:00

前言

Sentinelvalue(又名flagvalue/tripvalue/roguevalue/signalvalue/dummydata)是算法中的一個特殊值,通常在循環或遞歸算法中作為終止條件的特殊值存在。Chrome源碼中有很多Sentinelvalue。from-leaking-thehole-to-chrome-renderer-rce和TheHoleNewWorld-howasmallleakwillsinkagreatbrowser(CVE-2021-38003)中,都介紹了如何通過泄露TheHole對象實現CVE-2021-38003和CVE-2022–1364的沙箱內任意代碼執行。在我們發文闡述該緩解繞過大概一周后,谷歌團隊也迅速把這兩個在野CVE同步更新到了github上。時間節點如下:

Amherst Pierpont Securities LLC的首席經濟學家Stephen Stanley說,“美聯儲仍有很多工作要做,以讓經濟得到足夠的冷卻,特別是勞動力市場,才能達到他們想要的通脹水平。我們肯定還沒有達到那個目標。\"(金十)[2022/12/4 21:21:21]

0x3979b8ff3f8b790bmovedi,0x3979b902428b7f0bmovedi,0x3979b905458b4707moveax,;;eaxwillbeafixednumber0x3979b908488b7f0bmovedi,0x3979b90b4b8b5510movedx,0x3979b90e4ef6c201test_bdl,0x10x3979b911510f85b6000000jnz0x3979b9cd<+0x10d>0x3979b9175789d6movesi,edx0x3979b91959d1fesaresi,1;;esiisindex0x3979b91b5bd1ffsaredi,1;;0x3734b73a0x3979b91d5d3bf7cmpesi,edi0x3979b91f5f0f838e010000jnc0x3979bab3<+0x1f3>;;deoptreason'outofbounds'0x3979b92565c5fb104cf007vmovsdxmm1,xmm0,;;

音樂游戲開發商Blockstars完成500萬美元融資,Future Fund領投:11月6日消息,Solana鏈上音樂管理模擬游戲開發商Blockstars宣布完成500萬美元新一輪股權和代幣輪融資,Play Ventures旗下Future Fund領投,Makers Fund、Solana、Magic Eden、Merit Circle和Citizen X參投,該公司正在考慮使用人工智能和區塊鏈融合技術來創作歌曲,未來還將探索制作更多Web3游戲。

據悉,Blockstars的前身是車載語音驅動游戲開發商Drivetime,后者在疫情期間轉型開始構建區塊鏈游戲并完成了更名,Blockstars正在開發同名游戲,玩家可以創作、錄制和發行單曲并參加音樂比賽,獲勝者可以贏得原生代幣ROC獎勵。(venturebeat)[2022/11/6 12:23:05]

如上所示,esi為任意讀數組的索引,eax為固定值,edi為"outofbounds"檢測的數值,實際上調試時我們可以看到,edi為一個很大的數值,遠超過聲明時數組的最大范圍。

因此,在edi范圍內,可以任意讀寫。在具體做skype的exp時,雖然此時我們沒有地址壓縮帶來內存讀寫的便利,且skype開啟了aslr。但由于該文件太大,直接放在4GB內存中,黑客只需要對某個固定地址進行讀寫,便可以一個極大的概率讀寫skype文件中的內容。結合PE解析等傳統思路,不難完成整個漏洞利用鏈。基于此,我們無法保證黑客不能在短時間內完成整個利用鏈的適配。

這次PatchGap實際上不止需要排查Issue1352549,由于一個新的繞過方法的公開,直接導致了類似Issue1314616和Issue1216437的利用難度大幅度降低,黑客幾乎不需要花費任何研究成本,即可實現以往任何泄露uninitialized_oddball漏洞的完整利用,包括谷歌clusterfuzz提交的所有Issue中類似的漏洞。

總結

本文僅拋磚引玉,粗略來談通過泄露Sentinelvalue中的uninitialized_Oddball來實現任意讀原語。如第二部分所示,v8中的Sentinelvalue還有很多,實際上我們在測試Sentinelvalue的時候,也會經常容易遇到崩潰,不乏有非int3的崩潰出現。由于Uninitialized_Oddball和TheHole均已被證明可以在v8中實現環節繞過,我們有充分的理由懷疑其他Sentinelvalue也可能導致類似問題。

這也給我們一點提示:

01-其他uninitialized_Oddball泄露是否會輕松實現v8的RCE;

02-我們已經看到,谷歌會迅速將TheHole繞過進行修復,我們也看到利用垃圾回收實現ASLR繞過被長期擱置。這說明類似issue仍處在一個模糊邊界,即是否被正式當作安全問題對待。

03-如果02中的問題被當作正式安全問題對待,那么在fuzzer中是否有必要考慮將%TheHole/uninitialized_Oddball等Sentinelvalue作為變量加入,來挖掘其他利用原語;

這里不得不強調的是,無論該類問題是否被正式當作安全問題對待,它都會大大縮減黑客實現完整利用周期。

參考資料

https://bugs.chromium.org/p/chromium/issues/detail?id=1314616

https://bugs.chromium.org/p/chromium/issues/detail?id=1352549

https://bugs.chromium.org/p/chromium/issues/detail?id=1216437

https://starlabs.sg/blog/2022/12-the-hole-new-world-how-a-small-leak-will-sink-a-great-browser-cve-2021-38003/

Tags:B20THEMOVALUXTT-B20幣The VaultMOVONALU幣

TUSD
SBF:MarsBit周報 | Solana生態狗狗幣BONK七日漲超1900%;比特幣創世區塊誕生14周年

一、過去一周行業發生重要事件 1.產業 外媒:幣安完成對Gopax的收購盡調,擬收購其41.2%的股份知情人士稱,Binance已于近日完成對韓國交易所Gopax的收購盡職調查.

1900/1/1 0:00:00
NFT:NFT對品牌營銷的賦能

隨著元宇宙,WEB3,NFT等概念被炒熱,大量品牌開始布局虛擬場景活動和游戲,發行NFT等。然而大多數人對于NFT的印象都是被炒作的,看不懂的圖片,頭像或者視頻做成的收藏品.

1900/1/1 0:00:00
ROLL:盤點2023年Layer2尚未發行Token的項目

在廣義的理解中,區塊鏈是比特幣的底層技術,它一共有六層架構:數據層、網絡層、共識層、激勵層、合約層和應用層.

1900/1/1 0:00:00
區塊鏈:觀點:Web3 游戲不僅需要所有權,也離不開 AI

關于Web3的概念,我們現在比較熟悉的是由GavinWood于2014年提出的融合去中心化區塊鏈技術以及代幣經濟學的迭代互聯網想法.

1900/1/1 0:00:00
STR:MicroStrategy增持約2500枚比特幣,或因逃避清算?

2022?年?12?月?28?日,前?MicroStrategy?首席執行官?MichaelSaylor?在社交媒體宣布該公司已增持約?2500?枚比特幣.

1900/1/1 0:00:00
BTC:資管巨頭 VanEck 預測:2023 加密領域會發生什么?

加密貨幣波動性根植內部,整個2022年該特征更是尤為明顯。"加密貨幣寒潮"成功超過大部分數字資產躋身頭條新聞,而當下這一年,正以一連串的崩潰和破產而接近告終.

1900/1/1 0:00:00
ads