كشف تجاوز صندوق Chrome V8: استخدام قيمة الحارس لتنفيذ الشيفرة البرمجية بشكل عشوائي

قيمة الحارس هي قيمة خاصة تستخدم كشرط إنهاء في الخوارزميات، وتوجد بشكل واسع في شفرة مصدر Chrome. وقد أظهرت الأبحاث السابقة أنه يمكن تحقيق تنفيذ أي شفرة داخل Sandbox Chrome من خلال تسريب كائن TheHole. ستتناول هذه المقالة طريقة تجاوز أخرى لم يتم إصلاحها - تسريب كائن Uninitialized Oddball.

ظهرت هذه الطريقة لأول مرة في Issue1352549 المقدمة من أعضاء Project 0، ولا يزال بالإمكان استخدامها في أحدث إصدار من V8. من الجدير بالذكر أن مشاكل تسرب الكائنات الأصلية المماثلة ظهرت سابقًا عدة مرات في ثغرات هامة، مثل CVE-2021-30551 وCVE-2022-1486. وهذا يشير إلى أن هذه الأنواع من المشاكل شائعة، وقد تؤثر على العديد من البرمجيات التي تستخدم محرك V8.

تُعرَّف معظم الكائنات الأصلية في V8 في ملف v8/src/roots/roots.h، حيث يتم ترتيبها في الذاكرة بالتسلسل. بمجرد تسرب هذه الكائنات التي لا ينبغي أن تتسرب إلى JavaScript، قد يؤدي ذلك إلى هروب من الصندوق الرملي. يمكننا التحقق من هذه الطريقة عن طريق تعديل دالة V8 الأصلية، مثل تعديل دالة %TheHole() لتُعيد Uninitialized Oddball.

! [الكشف الحصري عن تجاوز Chrome v8 HardenProtect عن طريق تسريب قيمة Sentinel](https://img-cdn.gateio.im/webp-social/moments-26c26345e3ec4effeea2e3e6b7cd8772.webp019283746574839201

يمكن استخدام هذه الطريقة لتجاوز حماية HardenType، مما يتيح القراءة والكتابة في الذاكرة بشكل شبه عشوائي. من الناحية العملية، ستتخطى الشفرة المحسنة بلغة JavaScript فحص نوع عناصر المصفوفة، وستقوم بحساب الإزاحة للوصول إلى الذاكرة مباشرة. توجد اختلافات طفيفة في هذه المشكلة بين بنية x86 و x64، ولكن يمكن استغلالها في كلا الحالتين.

! [الكشف الحصري عن تجاوز Chrome v8 HardenProtect عن طريق تسريب قيمة Sentinel])https://img-cdn.gateio.im/webp-social/moments-4c091ca0e153e953eb168e99762ff7cc.webp(

لا تزال هذه الثغرة غير مُعالجة في بعض البرمجيات التي تستخدم محرك V8 مثل Skype)، مما يُشكل خطرًا أمنيًا محتملاً. قد يستغل القراصنة هذه الثغرة لتحقيق سلسلة استغلال كاملة.

! [الكشف الحصري عن تجاوز Chrome v8 HardenProtect عن طريق تسريب قيمة Sentinel](https://img-cdn.gateio.im/webp-social/moments-1e3fda77c04bceafdcc40413824a5d37.webp019283746574839201

بصرف النظر عن Uninitialized Oddball، يوجد في V8 قيم Sentinel أخرى، والتي قد تؤدي أيضًا إلى مشاكل أمان مشابهة. وهذا يشير إلى أننا بحاجة إلى إعادة النظر في تأثير تسرب قيم Sentinel على الأمان، والتفكير في إضافة المتغيرات ذات الصلة في اختبارات الفوضى. بغض النظر عما إذا كانت هذه المشكلات تعتبر رسميًا ثغرات أمنية، فإنها قد تقصر بشكل كبير من الوقت الذي يستغرقه المهاجمون لتحقيق استغلال كامل.

! [الكشف الحصري عن تجاوز Chrome v8 HardenProtect عن طريق تسريب قيمة Sentinel])https://img-cdn.gateio.im/webp-social/moments-ed89289bebf59d4b27f5bffb5511a8c5.webp019283746574839201

! [الكشف الحصري عن تجاوز Chrome v8 HardenProtect عن طريق تسريب قيمة Sentinel](https://img-cdn.gateio.im/webp-social/moments-0e52075003a8ee2ca492a5fc9f35c36b.webp019283746574839201

! [الكشف الحصري عن تجاوز Chrome v8 HardenProtect عن طريق تسريب قيمة Sentinel])https://img-cdn.gateio.im/webp-social/moments-230537e420d579aabd89bdd168b20878.webp(

![كشف حصري عن كيفية تجاوز حماية Chrome v8 من خلال تسريب قيمة Sentinel])https://img-cdn.gateio.im/webp-social/moments-506159c94c9e0988552cbcbd13d971e1.webp(

! [الكشف الحصري عن تجاوز Chrome v8 HardenProtect عن طريق تسريب قيمة Sentinel])https://img-cdn.gateio.im/webp-social/moments-e9e2000fd501b69ee3ee643a459a26dd.webp(