Sentinel Value'nın Chrome V8'deki Güvenlik Açıkları

Sentinel değeri, algoritmalardaki özel bir değerdir ve genellikle döngü veya özyinelemeli algoritmaların sonlandırma koşulu olarak kullanılır. Chrome kaynak kodunda çeşitli Sentinel değerleri bulunmaktadır, bunlardan bazıları JavaScript ortamına sızarsa güvenlik sorunlarına yol açabilir.

Daha önce yapılan araştırmalar, TheHole nesnesinin sızdırılmasının sandbox içinde herhangi bir kodun çalıştırılmasını sağlayabileceğini göstermiştir. Google ekibi buna bir düzeltme getirmiştir. Ancak gerçekte, V8'de JS'ye sızdırılmaması gereken başka yerel nesneler de vardır, örneğin Uninitialized Oddball nesnesi.

Başlatılmamış Oddball nesnelerinin sızıntısı, sandbox kaçışına neden olabilir. Bu sorun ilk olarak Issue1352549'da ortaya çıktı ve şu anda hala çözülmedi. Bu yöntem belirli bir genel geçerliliğe sahiptir ve çeşitli açıklar arasında görülmüştür.

V8'deki yerel nesneler v8/src/roots/roots.h dosyasında tanımlanır ve bellek içinde yan yana dizilir. Bu nesneler JavaScript ortamına sızdığında, sandbox'tan kaçış sağlanabilir.

Bu soruyu doğrulamak için, V8'in yerel fonksiyonunu değiştirerek Uninitialized Oddball'ı JavaScript'e sızdırabilirsiniz. Özellikle %TheHole() fonksiyonunun uygulamasını değiştirebilirsiniz.

Uninitialized Oddball nesnelerini kullanarak HardenType korumasını atlatmak mümkündür. Belirli JavaScript kodları oluşturarak, göreceli olarak herhangi bir bellek okuma/yazma işlemi gerçekleştirilebilir. Bunun nedeni, optimize edilmiş kodun nesne özelliklerini yeterince kontrol etmemesidir.

Düzeltme önerileri için, optimize edilmiş fonksiyonun dizi elemanlarını döndürürken dizi haritasının kontrolünü eklemek, doğrudan kaydırmayı hesaplayarak dönen değerin önlenmesi gerekmektedir.

Bu sorun, bazı yazılımların bu açığı gidermemiş V8 sürümlerini kullanabileceği anlamına gelen PatchGap'e dikkat etmemiz gerektiğini hatırlatıyor. Örneğin, Skype şu anda bu sorunu henüz gidermemiş durumda. x86 mimarisinde adres sıkıştırması olmadığı için, süreç kapsamındaki herhangi bir okuma ve yazma işlemi gerçekleştirilebilir.

Genel olarak, V8'de çeşitli Sentinel değerlerinin benzer güvenlik açıkları olabileceği mümkündür. Diğer Başlatılmamış Oddball sızıntılarının etkilerini daha fazla araştırmayı ve bu tür nesneleri daha fazla potansiyel istismar yollarını keşfetmek için karma test kapsamına dahil etmeyi öneriyoruz. Her halükarda, bu tür sorunlar saldırganların istismar döngüsünü önemli ölçüde kısaltabilir.