解析 Chrome V8 引擎中的 Sentinel Value 漏洞

Sentinel value 是算法中的特殊值,通常用作循环或递归的终止条件。Chrome V8 引擎中存在多个 Sentinel value,如果泄露到 JavaScript 环境中可能导致沙箱逃逸。本文将探讨通过泄露 Uninitialized Oddball 对象来绕过 Chrome V8 的 HardenProtect 保护机制。

V8 中的 Sentinel Value

V8 源码中定义了多个原生对象,它们在内存中相邻排布。如果这些对象被泄露到 JavaScript 中,可能导致沙箱内任意代码执行。之前已有研究表明 TheHole 对象的泄露可以实现这一点,而本文讨论的 Uninitialized Oddball 对象同样存在这种风险。

我们可以通过修改 V8 的原生函数,将 Uninitialized Oddball 泄露到 JavaScript 中进行验证。具体方法是修改 %TheHole() 函数中相对 isolate 的偏移,使其返回 Uninitialized Oddball 对象。

绕过 HardenType 保护

利用 Uninitialized Oddball 对象可以绕过 V8 的 HardenType 保护,实现相对任意读写。关键在于优化后的 JavaScript 代码没有检查数组元素的类型,而是直接按 JavaScript 语义计算偏移并读取数值,从而造成类型混淆。

在 x86 架构下,由于没有地址压缩,任意读写是相对于整个进程的。这意味着在某些软件中(如 Skype),攻击者可以利用这一点读写特定内存区域,进而完成整个漏洞利用链。

安全影响

该漏洞利用方法的公开,大大降低了利用类似漏洞的难度。攻击者几乎无需额外研究即可实现完整利用,这对许多尚未修复的软件构成威胁。

此外,V8 中还存在其他 Sentinel value,它们同样可能导致类似问题。这提示我们:

1. 其他 Sentinel value 泄露是否也能轻松实现 V8 的远程代码执行?

2. 是否应将这类问题正式列为安全漏洞?

3. 模糊测试中是否应考虑将各种 Sentinel value 作为变量纳入测试范围?

无论如何,这类问题都会显著缩短攻击者实现完整利用的周期,值得安全研究人员和开发者高度重视。