探索Chrome V8引擎中Sentinel Value的安全隐患

Sentinel value是算法中的一种特殊值，通常在循环或递归算法中作为终止条件使用。Chrome源码中存在多种Sentinel value，其中一些可能导致安全漏洞。本文将讨论通过泄露Uninitialized Oddball对象来绕过Chrome V8引擎的HardenProtect保护机制。

V8中的Sentinel Value

V8引擎中定义了多种原生对象，这些对象在内存中依次相邻排布。如果将不应泄露到JavaScript中的原生对象泄露出去，可能会导致沙箱内任意代码执行。

绕过HardenType保护

通过修改V8的native函数，可以将Uninitialized Oddball对象泄露到JavaScript中。利用这个泄露的对象，可以实现相对任意读写操作，从而绕过HardenType保护。

具体实现方法是:

1. 修改%TheHole()函数，使其返回Uninitialized Oddball对象
2. 构造特殊的JavaScript代码，利用优化后的函数中缺少对数组map的检查，直接计算偏移返回数组数值
3. 通过类型混淆，实现任意读写

PatchGap风险提示

这种绕过方法不仅适用于最新版V8，还可能影响使用旧版V8的软件。例如，Skype目前仍未修复这个漏洞。在x86架构下，由于缺少地址压缩，任意读写的范围可能会更大。

此外，这个新的绕过方法还可能降低其他相关漏洞的利用难度，如Issue1314616和Issue1216437等。

总结与思考

V8中还存在其他多种Sentinel value，它们可能同样存在安全隐患。未来的研究方向可能包括:

1. 探索其他Uninitialized Oddball泄露是否也能实现V8的RCE
2. 考虑将Sentinel value作为变量加入模糊测试，以发现更多潜在的利用原语
3. 关注此类问题是否会被正式视为安全问题，并评估其对缩短黑客完整利用周期的影响

无论这类问题是否被正式归类为安全问题，它们都可能大大缩短黑客实现完整利用的时间。因此，持续关注和研究Sentinel value相关的安全问题至关重要。