Dévoiler le contournement du sandbox Chrome V8 : utiliser la valeur Sentinel pour exécuter du code arbitraire

La valeur sentinelle est une valeur spéciale utilisée comme condition d'arrêt dans les algorithmes, et elle est largement présente dans le code source de Chrome. Des recherches antérieures ont montré qu'il est possible d'exécuter du code arbitraire dans le sandbox de Chrome en divulguant l'objet TheHole. Cet article discutera d'une autre méthode de contournement non corrigée - la divulgation de l'objet Uninitialized Oddball.

Cette méthode est apparue pour la première fois dans l'Issue1352549 soumise par un membre de Project 0, et elle peut toujours être utilisée dans la dernière version de V8. Il est à noter que des problèmes de fuite d'objets natifs similaires sont apparus à plusieurs reprises dans des vulnérabilités importantes, comme CVE-2021-30551 et CVE-2022-1486. Cela indique que ce type de problème est courant et pourrait affecter plusieurs logiciels utilisant le moteur V8.

La plupart des objets natifs dans V8 sont définis dans le fichier v8/src/roots/roots.h, et ils sont disposés en mémoire dans l'ordre. Une fois que ces objets qui ne devraient pas être divulgués à JavaScript sont divulgués, cela peut entraîner une évasion de bac à sable. Nous pouvons valider cette méthode en modifiant les fonctions natives de V8, par exemple en modifiant la fonction %TheHole() pour qu'elle retourne Uninitialized Oddball.

Cette méthode permet de contourner la protection HardenType et d'effectuer des lectures et écritures en mémoire de manière relativement arbitraire. Dans la mise en œuvre spécifique, le code JavaScript optimisé contournera la vérification des types d'éléments de tableau et accédera directement à la mémoire en calculant les décalages. Ce problème varie légèrement entre les architectures x86 et x64, mais peut être exploité dans les deux cas.

Cette vulnérabilité n'a pas encore été corrigée dans certains logiciels utilisant le moteur V8 comme Skype(, ce qui présente un risque de sécurité potentiel. Les hackers pourraient exploiter ce PatchGap pour réaliser une chaîne d'exploitation complète.

![Révélation exclusive sur le contournement de Chrome v8 HardenProtect via la fuite de la valeur Sentinel])https://img-cdn.gateio.im/webp-social/moments-1e3fda77c04bceafdcc40413824a5d37.webp(

En plus de l'Uninitialized Oddball, V8 contient d'autres valeurs Sentinel qui peuvent également entraîner des problèmes de sécurité similaires. Cela nous rappelle qu'il est nécessaire de réévaluer l'impact de sécurité des fuites de valeurs Sentinel et de considérer l'inclusion de variables pertinentes dans les tests de fuzzing. Que ces problèmes soient ou non considérés comme des vulnérabilités de sécurité formelles, ils peuvent considérablement réduire le temps nécessaire aux attaquants pour réaliser une exploitation complète.

![Révélation exclusive sur le contournement de Chrome v8 HardenProtect via la fuite de la valeur Sentinel])https://img-cdn.gateio.im/webp-social/moments-ed89289bebf59d4b27f5bffb5511a8c5.webp(

![Révélation exclusive sur le contournement de Chrome v8 HardenProtect grâce à la fuite de Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-0e52075003a8ee2ca492a5fc9f35c36b.webp(

![Révélation exclusive sur la façon de contourner le HardenProtect de Chrome v8 en divulguant la valeur Sentinel])https://img-cdn.gateio.im/webp-social/moments-230537e420d579aabd89bdd168b20878.webp(

![Révélation exclusive sur la façon de contourner Chrome v8 HardenProtect en révélant la valeur Sentinel])https://img-cdn.gateio.im/webp-social/moments-506159c94c9e0988552cbcbd13d971e1.webp(

![Révélation exclusive sur la façon de contourner Chrome v8 HardenProtect via la fuite de Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-e9e2000fd501b69ee3ee643a459a26dd.webp(