前言
Sentinelvalue(又名flagvalue/tripvalue/roguevalue/signalvalue/dummydata)是算法中的一个特殊值,通常在循环或递归算法中作为终止条件的特殊值存在。Chrome源码中有很多Sentinelvalue。from-leaking-thehole-to-chrome-renderer-rce和TheHoleNewWorld-howasmallleakwillsinkagreatbrowser(CVE-2021-38003)中,都介绍了如何通过泄露TheHole对象实现CVE-2021-38003和CVE-2022–1364的沙箱内任意代码执行。在我们发文阐述该缓解绕过大概一周后,谷歌团队也迅速把这两个在野CVE同步更新到了github上。时间节点如下:
独家 | ImageMagick存在0day漏洞:降维安全实验室(johnwick.io)观测到通用性图像处理软件ImageMagick被爆0day漏洞。 可以用于远程命令执行,甚至可以本地提权至root权限,且截至发稿前,官方尚未发布补丁。 此漏洞风险等级极高。 ImageMagick是一款被广泛使用的图像处理软件,有相当多网站使用它来进行图像处理。 同时它被Perl,C++,PHP,python,java,ruby等等语言支持,许多第三方图像处理的 模块或支持库均使用ImageMagick实现。此次出现漏洞原理为ImageMagick底层支持库 GhostScript存在沙箱绕过缺陷。 我们注意到,交易所的kyc验证流程,涉及到图像处理,非常容易受到此漏洞攻击利用。 降维安全实验室(johnwick.io)建议通过卸载ImageMagick底层支持库GhostScript 来缓解本漏洞。 卸载方法:sudo apt-get remove ghostscript[2018/8/22] 因此,在edi范围内,可以任意读写。在具体做skype的exp时,虽然此时我们没有地址压缩带来内存读写的便利,且skype开启了aslr。但由于该文件太大,直接放在4GB内存中,黑客只需要对某个固定地址进行读写,便可以一个极大的概率读写skype文件中的内容。结合PE解析等传统思路,不难完成整个漏洞利用链。基于此,我们无法保证黑客不能在短时间内完成整个利用链的适配。 这次PatchGap实际上不止需要排查Issue1352549,由于一个新的绕过方法的公开,直接导致了类似Issue1314616和Issue1216437的利用难度大幅度降低,黑客几乎不需要花费任何研究成本,即可实现以往任何泄露uninitialized_oddball漏洞的完整利用,包括谷歌clusterfuzz提交的所有Issue中类似的漏洞。 金色财经独家分析 软银结合自身支付优势大力拓展区块链领域:金色财经独家分析,日本软银集团、瑞穗银行已联合投资了一家名为J Score的科技企业,该企业社长大森隆一表示,将探索利用虚拟货币的全新融资、支付方式。软银是日本一家电信业与媒体业的控股公司。其旗下的子公司所参与的业务包括宽带网络、固网电话、电子商务、互联网服务、网络电话、科技服务、控股、金融、媒体与市场销售等。作为一家全球知名的企业软银对于区块链领域也在全面布局,前段时间,数字货币市场分析平台比特易宣布在近期获得软银中国资本。日本软银SBI集团旗下的技术公司SBI Bit透露,SBI Bit正在筹建数字货币交易所。另外,软银集团成立“运营商区块链研究小组”,旨在通过区块链技术改善电信业服务,尤其是以支付为主,实现不同运营商之间的余额充值。可以看出,软银正在用区块链结合自身传统支付业务优势,拓展新的商业模式。[2018/5/8] 总结 本文仅抛砖引玉,粗略来谈通过泄露Sentinelvalue中的uninitialized_Oddball来实现任意读原语。如第二部分所示,v8中的Sentinelvalue还有很多,实际上我们在测试Sentinelvalue的时候,也会经常容易遇到崩溃,不乏有非int3的崩溃出现。由于Uninitialized_Oddball和TheHole均已被证明可以在v8中实现环节绕过,我们有充分的理由怀疑其他Sentinelvalue也可能导致类似问题。 这也给我们一点提示: 01-其他uninitialized_Oddball泄露是否会轻松实现v8的RCE; 02-我们已经看到,谷歌会迅速将TheHole绕过进行修复,我们也看到利用垃圾回收实现ASLR绕过被长期搁置。这说明类似issue仍处在一个模糊边界,即是否被正式当作安全问题对待。 03-如果02中的问题被当作正式安全问题对待,那么在fuzzer中是否有必要考虑将%TheHole/uninitialized_Oddball等Sentinelvalue作为变量加入,来挖掘其他利用原语; 这里不得不强调的是,无论该类问题是否被正式当作安全问题对待,它都会大大缩减黑客实现完整利用周期。 参考资料 https://bugs.chromium.org/p/chromium/issues/detail?id=1314616 https://bugs.chromium.org/p/chromium/issues/detail?id=1352549 https://bugs.chromium.org/p/chromium/issues/detail?id=1216437 https://starlabs.sg/blog/2022/12-the-hole-new-world-how-a-small-leak-will-sink-a-great-browser-cve-2021-38003/ 郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。