Chrome 渲染器中的对象转换到 RCE

主要观点总结

文章描述了CVE-2024-5830漏洞，这是v8（Chrome的JavaScript引擎）中的一个类型混淆漏洞，导致在访问恶意网站时，可以在Chrome的渲染器沙箱中实现远程代码执行（RCE）。漏洞与对象映射和转换有关，涉及JavaScript解释器的基础知识。利用该漏洞，攻击者能够控制内存，实现任意读写，并绕过v8堆沙箱，进而在Chrome渲染进程中执行任意代码。

关键观点总结

关键观点1: 漏洞概述

文章探讨了CVE-2024-5830漏洞，该漏洞导致v8的JavaScript引擎中存在类型混淆，允许攻击者在Chrome的渲染器沙箱中实现远程代码执行。

关键观点2: 漏洞背景

文章介绍了对象映射和转换的基本概念，以及它们在JavaScript解释器中的作用，并强调了这些概念在理解漏洞中的必要性。

关键观点3: 漏洞利用方式

攻击者通过更新已弃用的映射，导致快速对象和字典对象之间的混淆，利用这种混淆实现任意读写，并绕过v8堆沙箱，在Chrome渲染进程中执行任意代码。

关键观点4: 绕过堆沙箱

文章展示了如何修改v8中作为Blink对象包装器的API对象，在堆沙箱之外的对象中引发类型混淆，从而绕过堆沙箱，实现v8堆沙箱之外的任意内存读写。

关键观点5: 结论

文章总结了漏洞利用的过程，强调了更新已弃用的映射可能引入的复杂且微妙的问题，以及这种类型的漏洞在野外被利用的风险。

文章预览

在这篇文章中，我将利用CVE-2024-5830，这是我在2024年5月报告的v8（Chrome的JavaScript引擎）中的一个类型混淆漏洞，编号为bug 342456991。该漏洞已在版本126.0.6478.56/57中修复。这个漏洞允许通过访问恶意网站，在Chrome的渲染器沙箱中实现远程代码执行（RCE）。 V8中的对象map和map转换 本节包含了一些关于对象地图和转换的背景资料，这些资料对于理解此漏洞是必要的。如果读者已经熟悉这些内容，可以跳到下一节。 地图（或隐藏类）的概念对JavaScript解释器来说是相当基础的。它表示对象的内存布局，并在属性访问的优化中起着关键作用。已经有很多优秀的文章详细讨论了这个话题。我特别推荐Mathias Bynens的文章“JavaScript引擎基础：Shapes和Inline Caches”。 一个地图持有一个属性描述符数组（ DescriptorArrays ），其中包含关于每个属性的信息。它还包含对象元素 ………………………………