Revelando la elusión del sandbox de Chrome V8: utilizando el valor centinela para lograr la ejecución de código arbitrario

El valor centinela es un valor especial utilizado como condición de terminación en algoritmos, y se encuentra ampliamente en el código fuente de Chrome. Investigaciones previas han demostrado que es posible ejecutar código arbitrario dentro del sandbox de Chrome mediante la filtración del objeto TheHole. Este artículo discutirá otro método de bypass no reparado: la filtración del objeto Uninitialized Oddball.

Este método apareció por primera vez en el Issue1352549 presentado por un miembro del Project 0 y actualmente todavía se puede utilizar en la última versión de V8. Cabe destacar que problemas similares de fuga de objetos nativos han aparecido varias veces en vulnerabilidades importantes, como CVE-2021-30551 y CVE-2022-1486. Esto indica que este tipo de problemas es común y puede afectar a múltiples software que utilizan el motor V8.

La mayoría de los objetos nativos en V8 están definidos en el archivo v8/src/roots/roots.h, y están dispuestos secuencialmente en la memoria. Una vez que estos objetos, que no deberían filtrarse a JavaScript, se filtran, puede resultar en una fuga de sandbox. Podemos verificar este método modificando las funciones nativas de V8, por ejemplo, modificando la función %TheHole() para que devuelva Uninitialized Oddball.

Este método puede eludir la protección HardenType, permitiendo la lectura y escritura de memoria de manera relativamente arbitraria. En términos de implementación específica, el código JavaScript optimizado omitirá la verificación del tipo de los elementos del array, accediendo directamente a la memoria mediante el cálculo de desplazamientos. Este problema varía ligeramente entre las arquitecturas x86 y x64, pero en ambas puede ser explotado.

Esta vulnerabilidad aún no ha sido corregida en ciertos software que utilizan el motor V8, como Skype(, lo que presenta riesgos de seguridad potenciales. Los hackers podrían aprovechar esta brecha de parche para implementar una cadena de explotación completa.

![Revelación exclusiva sobre cómo eludir Chrome v8 HardenProtect a través de la filtración de Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-1e3fda77c04bceafdcc40413824a5d37.webp(

Además de Uninitialized Oddball, también existen otros valores centinela en V8 que pueden causar problemas de seguridad similares. Esto nos indica que necesitamos revisar el impacto de seguridad de la filtración de valores centinela y considerar la inclusión de variables relacionadas en las pruebas de fuzzing. Independientemente de si estos problemas se consideran formalmente vulnerabilidades de seguridad, pueden reducir significativamente el tiempo que un atacante necesita para lograr una explotación completa.

![Revelación exclusiva sobre cómo el valor de Sentinel permite eludir Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-ed89289bebf59d4b27f5bffb5511a8c5.webp(

![Revelación exclusiva sobre cómo el valor de Sentinel filtrado elude el HardenProtect de Chrome v8])https://img-cdn.gateio.im/webp-social/moments-0e52075003a8ee2ca492a5fc9f35c36b.webp(

![Exclusiva: Revelando cómo el valor de Sentinel se utiliza para eludir Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-230537e420d579aabd89bdd168b20878.webp(

![Revelación exclusiva sobre cómo el valor Sentinel se filtró para eludir Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-506159c94c9e0988552cbcbd13d971e1.webp(

![Revelación exclusiva sobre cómo el valor de Sentinel se utiliza para eludir Chrome v8 HardenProtect])https://img-cdn.gateio.im/webp-social/moments-e9e2000fd501b69ee3ee643a459a26dd.webp(