Move语言引用安全机制中发现新的整数溢出漏洞

近期，在对Move语言进行深入研究时，我们发现了一个新的整数溢出漏洞。这个漏洞出现在引用安全验证过程中，涉及到Move语言的一些核心机制。通过分析这个漏洞，我们可以更深入地理解Move语言的设计和实现。

Move语言的验证过程

Move语言在执行字节码之前会对代码单元进行验证，这个过程分为4个步骤。本次发现的漏洞出现在reference_safety这一步骤中。

reference_safety模块定义了用于验证引用安全性的核心函数。它主要检查是否存在悬空引用、可变引用访问是否安全、全局存储引用访问是否安全等问题。

验证过程的入口函数会调用analyze_function来分析每个函数。analyze_function会对函数中的每个基本块进行验证。基本块是指除入口和出口外没有分支指令的代码序列。

Move语言中的引用安全

Move语言支持两种引用类型:不可变引用(&)和可变引用(&mut)。不可变引用用于读取数据，可变引用用于修改数据。这种设计有助于提高代码的安全性和可读性。

引用安全验证模块会扫描函数中每个基本块的字节码指令，判断所有引用操作是否合法。验证过程主要包括:

1. 执行基本块代码
2. 合并执行前后的状态
3. 更新块状态
4. 将后置条件传播到后续块

这个过程类似于V8 turbofan中的Sea of Nodes思想。

漏洞分析

漏洞出现在合并执行前后状态的过程中。当函数参数长度加上局部变量长度大于256时，由于使用u8类型表示局部变量索引，会导致整数溢出。

虽然Move语言有校验局部变量个数的过程，但这个校验并不包括参数长度。开发人员似乎意识到需要检查参数和局部变量的总和，但实际代码中只检查了局部变量的个数。

这个整数溢出可能导致拒绝服务攻击(DoS)。攻击者可以构造一个循环代码块，利用溢出改变块的状态。当再次执行基本块时，如果指令需要访问的索引在新的状态中不存在，就会导致程序崩溃。

漏洞利用

我们构造了一个概念验证(PoC)来演示这个漏洞:

1. 创建一个包含无条件分支指令的基本块，使其多次执行。
2. 设置参数和局部变量总数为264，导致新的局部变量映射长度溢出为8。
3. 再次执行基本块时，尝试访问不存在的局部变量索引，引发panic。

结论

这个漏洞再次证明了没有绝对安全的代码。虽然Move语言在执行前进行了静态校验，但仍可能被整数溢出漏洞绕过。

对于Move语言的未来发展，我们建议:

1. 在运行时增加更多的检查代码，防止意外情况发生。
2. 不要仅依赖验证阶段的安全检查，还应在运行阶段进行安全加固。

作为Move语言安全研究的先行者，我们将继续深入研究Move的安全问题，为其发展贡献力量。