THE:獨家揭秘通過泄露Sentinel Value繞過Chrome v8 HardenProtect_B20幣

前言

Sentinelvalue(又名flagvalue/tripvalue/roguevalue/signalvalue/dummydata)是算法中的一個特殊值，通常在循環或遞歸算法中作為終止條件的特殊值存在。Chrome源碼中有很多Sentinelvalue。from-leaking-thehole-to-chrome-renderer-rce和TheHoleNewWorld-howasmallleakwillsinkagreatbrowser(CVE-2021-38003)中，都介紹了如何通過泄露TheHole對象實現CVE-2021-38003和CVE-2022–1364的沙箱內任意代碼執行。在我們發文闡述該緩解繞過大概一周后，谷歌團隊也迅速把這兩個在野CVE同步更新到了github上。時間節點如下：

因此，在edi范圍內，可以任意讀寫。在具體做skype的exp時，雖然此時我們沒有地址壓縮帶來內存讀寫的便利，且skype開啟了aslr。但由于該文件太大，直接放在4GB內存中，黑客只需要對某個固定地址進行讀寫，便可以一個極大的概率讀寫skype文件中的內容。結合PE解析等傳統思路，不難完成整個漏洞利用鏈。基于此，我們無法保證黑客不能在短時間內完成整個利用鏈的適配。

法官否認前OpenSea員工駁回欺詐案的動議:金色財經報道，紐約南區的一名法官駁回了前OpenSea員工Nathaniel Chastain駁回的電匯欺詐指控的動議。

在前OpenSea產品負責人涉嫌購買和出售他知道將在市場主頁上列出的NFT后，一個大陪審團起訴了Chastain，美國司法部稱這一計劃類似于利用內幕信息獲利。

Chastain在8月提出了駁回動議，認為NFT既不構成證券也不構成商品，并且指控搶先交易的電匯欺詐指控需要在這些類別中進行交易。

地區法官杰西·弗曼今天在一份備忘錄和命令中正式表示不同意，否認駁回起訴的動議，并稱這一論點“完全沒有根據”。（The Block）[2022/10/22 16:35:01]

這次PatchGap實際上不止需要排查Issue1352549，由于一個新的繞過方法的公開，直接導致了類似Issue1314616和Issue1216437的利用難度大幅度降低，黑客幾乎不需要花費任何研究成本，即可實現以往任何泄露uninitialized_oddball漏洞的完整利用，包括谷歌clusterfuzz提交的所有Issue中類似的漏洞。

總結

本文僅拋磚引玉，粗略來談通過泄露Sentinelvalue中的uninitialized_Oddball來實現任意讀原語。如第二部分所示，v8中的Sentinelvalue還有很多，實際上我們在測試Sentinelvalue的時候，也會經常容易遇到崩潰，不乏有非int3的崩潰出現。由于Uninitialized_Oddball和TheHole均已被證明可以在v8中實現環節繞過，我們有充分的理由懷疑其他Sentinelvalue也可能導致類似問題。

這也給我們一點提示：

01-其他uninitialized_Oddball泄露是否會輕松實現v8的RCE；

02-我們已經看到，谷歌會迅速將TheHole繞過進行修復，我們也看到利用垃圾回收實現ASLR繞過被長期擱置。這說明類似issue仍處在一個模糊邊界，即是否被正式當作安全問題對待。

03-如果02中的問題被當作正式安全問題對待，那么在fuzzer中是否有必要考慮將%TheHole/uninitialized_Oddball等Sentinelvalue作為變量加入，來挖掘其他利用原語；

這里不得不強調的是，無論該類問題是否被正式當作安全問題對待，它都會大大縮減黑客實現完整利用周期。

參考資料

https://bugs.chromium.org/p/chromium/issues/detail?id=1314616

https://bugs.chromium.org/p/chromium/issues/detail?id=1352549

https://bugs.chromium.org/p/chromium/issues/detail?id=1216437

https://starlabs.sg/blog/2022/12-the-hole-new-world-how-a-small-leak-will-sink-a-great-browser-cve-2021-38003/

Tags：B20THEMOVVALUEB20幣The People’s Coinmove幣怎么停了Circuits of Value

fil幣價格今日行情