Уязвимост от 0 дни в Chrome, идентифицирана чрез анализ на промените в двигателя V8

Изследователи от Exodus Intelligence са демонстрирали слабо място в процеса на коригиране на уязвимости в кодовата база на Chrome/Chromium. Проблемът произтича от факта, че Google разкрива, че направените промени са свързани с проблеми със сигурността едва след пускането, но
добавя код към хранилището за коригиране на уязвимост в двигателя V8 преди публикуване на версията. За известно време корекциите се тестват и се появява прозорец, по време на който уязвимостта се фиксира в кодовата база и е достъпна за анализ, но уязвимостта остава некоригирана в потребителските системи.

Докато изучаваха промените, направени в хранилището, изследователите забелязаха нещо, добавено на 19 февруари корекция и в рамките на три дни успяха да се подготвят експлоатация, засягащи текущите версии на Chrome (публикувания експлойт не включваше компоненти за заобикаляне на изолацията на пясъчника). Google незабавно освободен Актуализация на Chrome 80.0.3987.122, коригираща предложения експлойт уязвимост (CVE-2020-6418). Уязвимостта първоначално е идентифицирана от инженерите на Google и е причинена от проблем с обработката на типа в операцията JSCreate, която може да бъде използвана чрез метода Array.pop или Array.prototype.pop. Прави впечатление, че имаше подобен проблем фиксиран във Firefox миналото лято.

Изследователите също така отбелязват лекотата на създаване на експлойти поради включването на Chrome 80 механизъм опаковане на знаци (вместо да се съхранява пълната 64-битова стойност, се съхраняват само уникалните по-ниски битове на указателя, което може значително да намали потреблението на памет в купчина). Например, някои структури от данни head-of-heap, като вградената функционална таблица, естествени контекстни обекти и коренни обекти събирач на боклук вече се разпределят към предвидими и записваеми пакетирани адреси.

Интересното е, че преди почти година Exodus Intelligence беше свършен подобна демонстрация на възможността за създаване на експлойт въз основа на изучаване на публичния регистър на корекциите във V8, но очевидно правилните заключения не са последвани. На мястото на изследователите
Exodus Intelligence може да са нападатели или разузнавателни агенции, които, когато създават експлойт, биха имали възможността тайно да експлоатират уязвимостта в продължение на дни или дори седмици преди формирането на следващото издание на Chrome.

Източник: opennet.ru