Membahas Kerentanan Keamanan Nilai Sentinel di Mesin Chrome V8

Nilai Sentinel adalah nilai khusus dalam algoritma, biasanya ada sebagai kondisi penghentian dalam algoritma loop atau rekursi. Dalam kode sumber Chrome terdapat banyak nilai Sentinel. Penelitian terbaru menunjukkan bahwa dengan membocorkan objek nilai Sentinel tertentu dapat menyebabkan eksekusi kode sembarang dalam sandbox Chrome.

Artikel ini akan membahas objek nilai Sentinel baru: Uninitialized Oddball. Metode bypass ini pertama kali muncul dalam laporan kerentanan tertentu, dengan kode lengkap yang diberikan oleh peneliti keamanan. Perlu dicatat bahwa metode ini masih dapat digunakan di versi terbaru V8, dan belum diperbaiki.

Metode ini memiliki generalitas yang kuat:

1. Dalam suatu kerentanan CVE, poc awal adalah kebocoran oddball internal yang tidak diinisialisasi.

2. Dalam laporan kerentanan CVE lainnya, peneliti secara langsung membocorkan UninitializedOddball, meskipun saat itu rantai eksploitasi tidak lengkap, namun telah menunjukkan adanya risiko keamanan.

3. Dalam laporan kerentanan terbaru, metode pemanfaatan lengkap telah diberikan.

Kasus-kasus ini menunjukkan universalitas dan keseriusan masalah tersebut. Sampai saat ini, perangkat lunak komunikasi tertentu belum memperbaiki celah tersebut.

Aplikasi nilai sentinel di V8

Dalam sumber kode V8, sejumlah besar objek asli didefinisikan, yang disusun bersebelahan di dalam memori. Begitu objek asli yang seharusnya tidak bocor diekspos ke JavaScript, dapat memungkinkan eksekusi kode sembarang di dalam sandbox.

Untuk memverifikasi efektivitas metode ini di V8 terbaru, kita dapat memodifikasi fungsi native V8 untuk membocorkan Oddball yang belum diinisialisasi ke dalam JavaScript.

Menghindari Perlindungan HardenType

Kita dapat menyusun kode, ketika suatu fungsi mengembalikan UninitializedOddball, untuk mewujudkan pembacaan yang relatif sembarangan. Analisis kode rakitan yang dioptimalkan dapat menunjukkan bahwa fungsi hanya memeriksa apakah atribut objek benar, tetapi tidak memeriksa nilai yang sesuai dengan atribut, langsung menghitung offset berdasarkan semantik JavaScript untuk mendapatkan elemen array, sehingga menyebabkan kebingungan tipe dan mewujudkan pembacaan sembarangan.

Demikian pula, penulisan sembarang juga dapat dibangun melalui metode serupa. Disarankan untuk menambahkan pemeriksaan peta array saat mengembalikan elemen array dari fungsi optimasi, untuk menghindari perhitungan nilai pengembalian offset secara langsung.

Pemberitahuan Risiko Keamanan

Analisis menunjukkan bahwa perangkat lunak komunikasi tertentu hingga saat ini belum memperbaiki kerentanan tersebut. Di sistem x86, karena kurangnya kompresi alamat, pembacaan dan penulisan sembarang langsung berkaitan dengan seluruh proses. Meskipun ASLR telah diaktifkan, karena ukuran file yang besar, tetap ada kemungkinan besar untuk membaca dan menulis konten penting. Dengan menggabungkan metode seperti analisis PE, mungkin bisa menyelesaikan rantai eksploitasi lengkap dalam waktu singkat.

Risiko keamanan kali ini tidak hanya melibatkan satu kerentanan, tetapi juga mengakibatkan penurunan signifikan dalam kesulitan eksploitasi kerentanan serupa yang dilaporkan sebelumnya. Hacker hampir tidak memerlukan penelitian tambahan untuk mencapai eksploitasi yang lengkap, termasuk semua kerentanan serupa yang dilaporkan sebelumnya.

Ringkasan

Artikel ini secara singkat membahas metode untuk membaca secara sembarangan melalui kebocoran Uninitialized Oddball. Di V8 terdapat banyak nilai Sentinel lainnya, yang mungkin memiliki kerentanan keamanan serupa. Ini memberi kita beberapa wawasan:

1. Apakah kebocoran nilai Sentinel lainnya juga dapat menyebabkan pelarian sandbox V8?

2. Apakah masalah seperti ini harus secara resmi dianggap sebagai kerentanan keamanan?

3. Apakah perlu untuk menambahkan variabel terkait nilai Sentinel dalam pengujian fuzz untuk menemukan lebih banyak masalah potensial?

Bagaimanapun, masalah semacam ini dapat secara signifikan memperpendek periode di mana peretas dapat sepenuhnya memanfaatkan, dan sangat penting untuk diperhatikan.