Descobrir como contornar o sandbox do Chrome V8: usar o Valor Sentinel para executar código arbitrário

O valor sentinel é um valor especial usado como condição de término em algoritmos, amplamente presente no código-fonte do Chrome. Pesquisas anteriores mostraram que a execução de qualquer código dentro do sandbox do Chrome pode ser realizada através da divulgação do objeto TheHole. Este artigo discutirá outro método de contorno não corrigido - a divulgação do objeto Uninitialized Oddball.

O método apareceu pela primeira vez na Issue1352549 submetida por um membro do Project 0 e ainda pode ser utilizado na versão mais recente do V8. Vale a pena notar que problemas semelhantes de vazamento de objetos nativos já apareceram várias vezes em vulnerabilidades importantes, como CVE-2021-30551 e CVE-2022-1486. Isso indica que esse tipo de problema é generalizado e pode afetar vários softwares que utilizam o motor V8.

A maioria dos objetos nativos no V8 está definida no arquivo v8/src/roots/roots.h, e eles estão dispostos na memória em sequência. Uma vez que esses objetos, que não deveriam vazar para o JavaScript, são expostos, isso pode levar a uma fuga do sandbox. Podemos validar este método modificando a função nativa do V8, por exemplo, alterando a função %TheHole() para retornar Uninitialized Oddball.

Usando este método, é possível contornar a proteção HardenType e realizar leituras e gravações de memória relativamente arbitrárias. Na implementação específica, o código JavaScript otimizado ignorará a verificação do tipo dos elementos do array e calculará diretamente o deslocamento para acessar a memória. Este problema é ligeiramente diferente nas arquiteturas x86 e x64, mas pode ser explorado em ambas.

Esta vulnerabilidade ainda não foi corrigida em alguns softwares que utilizam o motor V8, como o Skype (, apresentando um potencial risco de segurança. Hackers podem explorar essa PatchGap para realizar uma cadeia completa de exploração da vulnerabilidade.

![Revelação exclusiva sobre como contornar o HardenProtect do Chrome v8 através da divulgação do Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-1e3fda77c04bceafdcc40413824a5d37.webp(

Além do Uninitialized Oddball, existem outros valores Sentinel no V8 que também podem causar problemas de segurança semelhantes. Isso nos alerta para a necessidade de reexaminar o impacto de segurança das vazamentos de valores Sentinel e considerar a inclusão de variáveis relevantes em testes de fuzzing. Independentemente de esses tipos de problemas serem ou não formalmente considerados como falhas de segurança, eles podem reduzir significativamente o tempo que um atacante leva para conseguir uma exploração completa.

![Revelação exclusiva sobre como contornar o HardenProtect do Chrome v8 através da revelação do Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-ed89289bebf59d4b27f5bffb5511a8c5.webp(

![Revelação exclusiva sobre como contornar o HardenProtect do Chrome através da divulgação do Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-0e52075003a8ee2ca492a5fc9f35c36b.webp(

![Revelação exclusiva sobre como contornar o HardenProtect do Chrome v8 através da divulgação do Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-230537e420d579aabd89bdd168b20878.webp(

![Revelação exclusiva sobre como contornar o Chrome v8 HardenProtect com a divulgação do Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-506159c94c9e0988552cbcbd13d971e1.webp(

![Revelação exclusiva sobre como contornar o HardenProtect do Chrome v8 através da divulgação do Sentinel Value])https://img-cdn.gateio.im/webp-social/moments-e9e2000fd501b69ee3ee643a459a26dd.webp(