V8引擎Sentinel Value泄露引發安全風險 需警惕

Sentinel Value在Chrome V8中的應用及其安全隱患

V8引擎中存在多種特殊的Sentinel Value對象,如TheHole和Uninitialized Oddball等。這些對象本不應泄露到JavaScript環境中,但某些漏洞可能導致它們被暴露,從而引發安全問題。

近期有研究人員發現,通過泄露Uninitialized Oddball對象可以繞過V8的HardenType保護機制。該方法最早出現在Project Zero團隊成員提交的一個問題報告中,目前在最新版V8中仍然有效。

這種繞過方法具有普遍性,可用於多個歷史漏洞的利用,如CVE-2021-30551、CVE-2022-1486等。它降低了漏洞利用的難度,使得僅泄露Uninitialized Oddball對象就可能導致遠程代碼執行。

爲驗證該方法,可以修改V8的native函數%TheHole(),使其返回Uninitialized Oddball對象。測試表明,這確實可以實現相對任意的內存讀取。

在優化後的JavaScript代碼中,V8沒有充分檢查數組元素的類型,直接按偏移量計算並返回值,從而導致類型混淆和任意讀取。建議在優化過程中增加對數組map的檢查,以避免這種情況。

這種繞過方法的發現凸顯了一些重要問題:

1. 其他Sentinel Value對象泄露可能同樣危險
2. 相關問題是否應被視爲正式的安全漏洞仍存在爭議
3. 模糊測試中可考慮將Sentinel Value作爲變量引入

無論如何,這類問題都會大大縮短黑客實現完整利用的週期,值得高度重視。相關軟件廠商應盡快修復受影響的版本,以降低潛在風險。