Sentinel ValueのChrome V8における応用とセキュリティリスク

Sentinel Valueはアルゴリズムで一般的に使用される特別な値で、通常ループや再帰アルゴリズムの終了条件として使用されます。Chromeのソースコードではこの技術が広く使用されています。最近、セキュリティ研究者は特定のSentinel Valueオブジェクトを漏洩させることによってChromeサンドボックス内で任意のコードを実行する方法を発見しました。

! 独占公開バイパスChrome v8 HardenProtect by Leaking Sentinel Value

V8エンジンには、JavaScript環境に漏洩してはいけないさまざまなネイティブオブジェクトがあります。以前に報告されたTheHoleオブジェクトに加えて、本稿ではUninitialized Oddballオブジェクトの漏洩問題に重点を置いています。この方法は現在も最新のV8バージョンで利用可能であり、まだ修正されていません。

! 独占公開バイパスChrome v8 HardenProtect by Leaking Sentinel Value

注目すべきは、未初期化オッドボールオブジェクトを利用した情報漏洩の手法が非常に汎用性が高いということです。CVE-2021-30551やCVE-2022-1486など、複数の歴史的な脆弱性がこの種のオブジェクトの漏洩に関与しています。この手法の発見は、関連する脆弱性の悪用の難易度を下げる可能性があります。

! 独占公開バイパスChrome v8 HardenProtect by Leaking Sentinel Value

V8のネイティブ関数を修正することで、Uninitialized OddballオブジェクトをJavaScript環境に漏洩させることが容易になります。この方法を利用することで、攻撃者はV8の型強化保護メカニズムを回避し、比較的任意のメモリ読み書き操作を実行することができます。

! 独占公開バイパスChrome v8 HardenProtect by Leaking Sentinel Value

最適化されたJavaScriptコードでは、配列のmapに対するチェックが欠けているため、オフセットを直接計算して配列の値を返す方法には安全リスクがあります。最適化関数が配列要素を返す際には、配列のmapの検証を追加して安全性を向上させることをお勧めします。

! 独占公開バイパスChrome v8 HardenProtect by Leaking Sentinel Value

この種の問題の影響範囲は予想以上に広がる可能性があります。古いV8エンジンを使用しているアプリケーションには、依然としてリスクが存在するかもしれません。たとえば、現在の時点でSkypeはこの脆弱性を修正していません。32ビットシステムでは、アドレス圧縮メカニズムが欠如しているため、攻撃者が任意のメモリの読み書きをより簡単に実行できる可能性があります。

! 独占公開バイパスChrome v8 HardenProtect by Leaking Sentinel Value

全体的に見て、Sentinel Valueに関連するセキュリティ問題はより多くの注意を払う価値があります。Uninitialized OddballやTheHoleオブジェクトだけでなく、他のSentinel Valueにも同様のリスクが存在する可能性があります。これらの特殊な値をファジングテストの範囲に含めて、潜在的な脆弱性を発見することをお勧めします。

! 独占公開バイパスChrome v8 HardenProtect by Leaking Sentinel Value

この種の問題が正式にセキュリティの脆弱性と見なされるかどうかにかかわらず、それらは攻撃者が完全に悪用するまでの時間を大幅に短縮する可能性があります。したがって、関係者は警戒を怠らず、潜在的なリスクを適時修正するべきです。

! 独占公開バイパスChrome v8 HardenProtect by Leaking Sentinel Value

! 独占公開バイパスChrome v8 HardenProtect by Leaking Sentinel Value