V8引擎Sentinel Value泄露引发安全风险 需警惕

Sentinel Value在Chrome V8中的应用及其安全隐患

V8引擎中存在多种特殊的Sentinel Value对象,如TheHole和Uninitialized Oddball等。这些对象本不应泄露到JavaScript环境中,但某些漏洞可能导致它们被暴露,从而引发安全问题。

近期有研究人员发现,通过泄露Uninitialized Oddball对象可以绕过V8的HardenType保护机制。该方法最早出现在Project Zero团队成员提交的一个问题报告中,目前在最新版V8中仍然有效。

这种绕过方法具有普遍性,可用于多个历史漏洞的利用,如CVE-2021-30551、CVE-2022-1486等。它降低了漏洞利用的难度,使得仅泄露Uninitialized Oddball对象就可能导致远程代码执行。

为验证该方法,可以修改V8的native函数%TheHole(),使其返回Uninitialized Oddball对象。测试表明,这确实可以实现相对任意的内存读取。

在优化后的JavaScript代码中,V8没有充分检查数组元素的类型,直接按偏移量计算并返回值,从而导致类型混淆和任意读取。建议在优化过程中增加对数组map的检查,以避免这种情况。

这种绕过方法的发现凸显了一些重要问题:

1. 其他Sentinel Value对象泄露可能同样危险
2. 相关问题是否应被视为正式的安全漏洞仍存在争议
3. 模糊测试中可考虑将Sentinel Value作为变量引入

无论如何,这类问题都会大大缩短黑客实现完整利用的周期,值得高度重视。相关软件厂商应尽快修复受影响的版本,以降低潜在风险。