比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

B20:獨家揭秘通過泄露Sentinel Value繞過Chrome v8 HardenProtect

Author:

Time:1900/1/1 0:00:00

前言

Sentinelvalue(又名flagvalue/tripvalue/roguevalue/signalvalue/dummydata)是算法中的一個特殊值,通常在循環或遞歸算法中作為終止條件的特殊值存在。Chrome源碼中有很多Sentinelvalue。from-leaking-thehole-to-chrome-renderer-rce和TheHoleNewWorld-howasmallleakwillsinkagreatbrowser(CVE-2021-38003)中,都介紹了如何通過泄露TheHole對象實現CVE-2021-38003和CVE-2022–1364的沙箱內任意代碼執行。在我們發文闡述該緩解繞過大概一周后,谷歌團隊也迅速把這兩個在野CVE同步更新到了github上。時間節點如下:

因此,在edi范圍內,可以任意讀寫。在具體做skype的exp時,雖然此時我們沒有地址壓縮帶來內存讀寫的便利,且skype開啟了aslr。但由于該文件太大,直接放在4GB內存中,黑客只需要對某個固定地址進行讀寫,便可以一個極大的概率讀寫skype文件中的內容。結合PE解析等傳統思路,不難完成整個漏洞利用鏈。基于此,我們無法保證黑客不能在短時間內完成整個利用鏈的適配。

這次PatchGap實際上不止需要排查Issue1352549,由于一個新的繞過方法的公開,直接導致了類似Issue1314616和Issue1216437的利用難度大幅度降低,黑客幾乎不需要花費任何研究成本,即可實現以往任何泄露uninitialized_oddball漏洞的完整利用,包括谷歌clusterfuzz提交的所有Issue中類似的漏洞。

Do Kwon:開發人員提供的消息不實,Terra社區研究員再次進行反駁:6月10日消息,Do Kwon昨晚在推特上表示,Terra生態開發人員在脫錨事件后提供了很多錯誤及虛假信息,他將積極主動與媒體溝通以提供正確信息。Do Kwon稱,有許多關于“核心開發人員”提供有關Terra機制的專家訪談的傳聞,開源開發是透明的,我建議媒體檢查這些人員是否曾將他們的代碼投入生產。雖然TFL打算繼續支持和建設Terra 2.0網絡,但它不是TFL主導的鏈,我們有意識地退出了空投分配,所有決定都由各個社區團體做出,盡管以一種不穩定的方式。”

Terra社區研究員FatMan對此進行了反駁稱Do Kwon在撒謊,TFL并沒有退出空投,他們只是在他們主要的公開追蹤錢包上這樣做。對于代碼的問題,FatMan稱Anchor的核心研究員之一Marco di Maggio曾透露,Terra的經濟研究人員負責創造設計,而開發人員負責發布代碼,網絡開發人員和經濟模型研究人員之間是有分工的。

此前消息,FatMan曾爆料TFL持有價值超2億美元的LUNA,Do Kwon使用影子錢包操縱治理,此外他還披露了TFL相關的四個錢包地址。[2022/6/10 4:16:15]

總結

本文僅拋磚引玉,粗略來談通過泄露Sentinelvalue中的uninitialized_Oddball來實現任意讀原語。如第二部分所示,v8中的Sentinelvalue還有很多,實際上我們在測試Sentinelvalue的時候,也會經常容易遇到崩潰,不乏有非int3的崩潰出現。由于Uninitialized_Oddball和TheHole均已被證明可以在v8中實現環節繞過,我們有充分的理由懷疑其他Sentinelvalue也可能導致類似問題。

這也給我們一點提示:

01-其他uninitialized_Oddball泄露是否會輕松實現v8的RCE;

02-我們已經看到,谷歌會迅速將TheHole繞過進行修復,我們也看到利用垃圾回收實現ASLR繞過被長期擱置。這說明類似issue仍處在一個模糊邊界,即是否被正式當作安全問題對待。

03-如果02中的問題被當作正式安全問題對待,那么在fuzzer中是否有必要考慮將%TheHole/uninitialized_Oddball等Sentinelvalue作為變量加入,來挖掘其他利用原語;

這里不得不強調的是,無論該類問題是否被正式當作安全問題對待,它都會大大縮減黑客實現完整利用周期。

參考資料

https://bugs.chromium.org/p/chromium/issues/detail?id=1314616

https://bugs.chromium.org/p/chromium/issues/detail?id=1352549

https://bugs.chromium.org/p/chromium/issues/detail?id=1216437

https://starlabs.sg/blog/2022/12-the-hole-new-world-how-a-small-leak-will-sink-a-great-browser-cve-2021-38003/

Tags:B20THEMOVALLB20幣togetherbnb作弊碼MOVON價格Golden Ball

火幣交易所
GAM:Wolf Game 將推出完整版游戲,會重燃 GameFi 領域嗎?

WolfGame曾于2021年11月席卷GamFi領域,其游戲內的Sheep?NFT?價格從發售價0.069?ETH?一度飆升至10ETH,其代幣WOOL價格也在游戲發布后的兩三日內一度翻倍.

1900/1/1 0:00:00
ALCH:Huobi交易所 | 火必App2023下載鏈接-火必重返三大

???2022年底,孫宇晨被任命為HuobiGlobal全球顧問委員會成員,他在個人社交賬號表示,將和其他委員一起,在行業發展、學術研究、合規風控等領域提供指導,進一步加強機構間合作.

1900/1/1 0:00:00
ARB:一文說透Arbitrum:熊市里逆勢增長的Layer2賽道領跑者

最近Arbitrum可謂是大火特火,除了在Layer2遙遙領先的TVL和生態數量之外,兩個王牌生態GMX和Magic也是最近為數不多的上Binance項目,一時間,更多的目光投了過來.

1900/1/1 0:00:00
RES:The Block Research:15張圖回顧2022年加密貨幣市場

注:本文來自TheBlockResearch推文,簡述過去一年加密貨幣市場發展態勢。對加密貨幣行業來說,2022年必將是載入史冊的一年,在世界各地的分析師團隊的幫助下,我們很自豪地發布了《202.

1900/1/1 0:00:00
MAT:加密KOL對2023年的預測:今年BTC將見底,Solana不會歸零

這些預測是從2023年初開始做出的。隨著這一年的進展,宏觀和監管環境可能會發生變化,以及創造新的敘事。但我認為,無論如何,嘗試一下預測會很有趣.

1900/1/1 0:00:00
加密貨幣:直接進入DeFi:Uniswap支持用戶使用借記卡買入加密資產

注:本文來自Uniswapblog,介紹以傳統金融市場中的支付方式買入加密資產的方法。從今天起,你可以在UniswapWebAPP上使用信用卡、借記卡或銀行轉賬以web3中最優惠的價格買入加密貨.

1900/1/1 0:00:00
ads