본문 바로가기

Research

CVE-2023-3079 (Bug in the handling of the arguments object) Environment Setting Install depot_tools cd ~ git clone https://chromium.googlesource.com/chromium/tools/depot_tools.git export PATH=~/depot_tools:$PATH Get V8 source code mkdir v8 cd v8 fetch v8 cd v8 git checkout 4217c51611830d98d7fd7b8c922571942a87ad2e gclient sync -D Install build dependencies ./build/install-build-deps.sh Build V8 gn gen out/debug --args="v8_no_inline=true v8_optimized_debug..
CVE-2023-2033 (JIT optimisation issue) Environment Setting Install depot_tools cd ~ git clone https://chromium.googlesource.com/chromium/tools/depot_tools.git export PATH=~/depot_tools:$PATH Get V8 source code mkdir v8 cd v8 fetch v8 cd v8 git checkout f7a3499f6d7e50b227a17d2bbd96e4b59a261d3c gclient sync -D Install build dependencies ./build/install-build-deps.sh Build V8 gn gen out/debug --args="v8_no_inline=true v8_optimized_debug..
CVE-2021-38003 (JSON.stringify leaks TheHole value, leading to RCE) Environment Setting OS: Ubuntu 20.04 64-bit Memory: 8GB Processors: 8 Hard Disk: 100GB Install depot_tools V8 빌드를 위해 depot_tools를 설치합니다. cd ~ git clone https://chromium.googlesource.com/chromium/tools/depot_tools.git export PATH=$PWD/depot_tools:$PATH Download V8 source code V8 소스 코드를 다운받고, 패치 바로 이전 커밋인 a4252db3228433fed5c2bdb0fdff9a6b7b638f3b로 이동합니다. mkdir v8 cd v8 fetch v8 cd v8 git checkout a..
Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability (CVE-2023-21768) Introduction 2023년 1월 10일, Patch Tuesday에 MSRC로부터 Ancillary Function Driver(AFD.sys)에 존재하는 EoP 취약점이 공개되었고, IBM X-Froce의 @chompie와 @b33f는 일명 Patch Tuesday, Exploit Wednesday로 일컫는, 취약점의 patch가 공개된 다음날 취약점을 weaponizing 하는 연구 결과를 공개하였다. 해당 연구에서는 임의의 주소에 0x1을 쓰는 취약점을 Yarden Sharif가 공개한 IoRing Primitive를 활용, Full AAR/AAW로 확장하여 EoP를 달성하였다. chompie와 b33f의 연구에서 0x1을 쓰는 것을 넘어 더 큰 값을 쓸 수 있는 가능성을 제시하였지만, 더 ..
CVE-2019-5782 (Incorrect optimization assumptions in V8) Background Typer in Turbofan JavaScript의 dynamic type system은 사용자에게는 편의를 제공하지만, JS 엔진의 입장에서는 코드와 메모리 관리를 매우 까다롭게 합니다. 예를 들어, a + b라는 아주 간단한 덧셈 연산도 a와 b의 type에 따라 연산 결과의 type이 달라집니다. JIT 컴파일러는 피연산자와 연산 결과의 type에 대해 가능한 모든 경우를 고려하여 어떻게 처리할지 준비해 두어야 하는데, 이는 매우 비효율적인 작업일 것입니다. V8에서는 type speculation을 통해 이 문제를 해결합니다. V8의 JIT 컴파일러인 Turbofan은 함수가 호출될 때 연산 과정에서 사용되는 type 정보를 기록해 두었다가, runtime에 그 정보를 활용하..
CVE-2020-6418 (Incorrect side effect modelling for JSCreate) Background Map inference in v8 V8에서 map inference는 최적화 과정에서 object의 map, 즉 type을 추론하는 작업입니다. Object의 map은 runtime에 바뀔 수 있습니다. 예를 들어 다음과 같은 상황을 생각해볼 수 있습니다. [1, 2, 3]은 small integer들의 배열이므로, a의 map은 PACKED_SMI_ELEMENTS입니다. a[0]의 값을 1.1로 바꾸면 a는 더 이상 small integer들의 배열이 아니게 되고, 따라서 map도 바뀌어야 합니다. 이 경우에는 double형 상수들의 배열이므로 a의 새로운 map은 PACKED_DOUBLE_ELEMENTS가 됩니다. /* src/compiler/map-inference.h */ /..
CVE-2018-16069 (Floating-point precision errors in Swiftshader blitting) Background Precision error 프로그래밍 언어에서 limited precision arithmetic operation을 수행할 때 precision error가 발생할 수 있습니다. 실존하는 수는 무한한데 컴퓨터는 제한된 공간에 2진수 형식으로 수를 저장하기 때문에, 실제 프로그래머가 의도한 값과 컴퓨터에 저장되는 값이 달라지는 현상입니다. 대표적인 precision error에는 integer overflow가 있습니다. 4바이트 크기의 int형 변수는 2 ** 32가지의 정수만 표현할 수 있는데, 표현 가능한 범위를 넘어가게 되면 overflow가 발생하여 실제 의도한 값과 다른 값이 저장됩니다. 이 글의 버그는 floating-point arithmetic operation에서의..
SEGV analysis found in glog Introduction Google의 오픈소스 라이브러리인 glog를 대상으로 Fuzzing을 수행하던 중 demangling process 과정에서 SEGV(segmentation fault) 관련 crash를 발견하였습니다. 해당 crash는 숫자가 포함되어 있는 mangling된 함수 이름을 demangling하는 과정이 주요 원인이였으며, 잘못된 주소 참조 이후 비교문을 수행하는 과정까지 이어집니다. 최종 분석 결과 crash가 발견되는 지점 이후 오류핸들러가 존재하였기 때문에 보안 취약점으로 이어질 수는 없었습니다. Name Mangling / Deangling 네임 맹글링에 대한 개념을 말씀드리기에 앞서 c++ 언어에는 함수 오버로딩(funcation overloading) 라는 개념이 존재합..