Sentinel Value在Chrome V8中的安全隐患

Sentinel value是算法中的特殊值,常用于循环或递归算法的终止条件。Chrome源码中存在多种Sentinel value,其中一些如果泄露到JavaScript环境中可能导致安全问题。

之前有研究表明,泄露TheHole对象可以实现沙箱内任意代码执行。谷歌团队对此进行了修复。但实际上,V8中还有其他原生对象不应泄露到JS中,如Uninitialized Oddball对象。

Uninitialized Oddball对象的泄露可能导致沙箱逃逸。这个问题最早出现在Issue1352549中,目前仍未修复。该方法具有一定通用性,曾在多个漏洞中出现。

V8中的原生对象定义在v8/src/roots/roots.h文件中,它们在内存中相邻排列。一旦这些对象泄露到JavaScript环境,就可能实现沙箱逃逸。

为验证这个问题,可以修改V8的native函数,将Uninitialized Oddball泄露到JavaScript中。具体可以修改%TheHole()函数的实现。

利用Uninitialized Oddball对象可以绕过HardenType保护。通过构造特定的JavaScript代码,可以实现相对任意的内存读写。这是由于优化后的代码没有充分检查对象属性。

对于修复建议,应在优化后的函数返回数组元素时,添加对数组map的检查,避免直接计算偏移返回数值。

这个问题也提醒我们注意PatchGap,即某些软件可能使用未修复该漏洞的V8版本。例如Skype目前仍未修复这个问题。在x86架构下,由于没有地址压缩,可以实现进程范围内的任意读写。

总的来说,V8中还有多种Sentinel value可能存在类似安全隐患。建议进一步研究其他Uninitialized Oddball泄露的影响,考虑将这类对象纳入模糊测试范围,以发现更多潜在利用方式。无论如何,这类问题都可能大大缩短攻击者的漏洞利用周期。