论坛 › TSD/原创 › 【原创】chrome已提交的两个漏洞分析(一)

村长 发表于 2022-1-28 22:17:04

【原创】chrome已提交的两个漏洞分析(一)

早在chrome一次更新修复该漏洞后就关注到了这个漏洞，不过当时是一个研究者一次提交了两个漏洞，还都是21000美元的高悬赏，我当时只注意到了CVE-2021-30598的两次patch，看到其中一次将typeguard改为checkbound，猜测是可以达到rce的。

30598
30599

环境搭建 :
在v8环境搭完后
git reset --hard 27a517b8922915f53d479133205ee80b35ac2feb
gclient sync

漏洞分析:
这是发生在machine-operator-reducer.cc（**** Hidden Message *****

static base::Optional<BitfieldCheck> Detect(Node* node) {
// There are two patterns to check for here:
// 1. Single-bit checks: `(val >> shift) & 1`, where:
// - the shift may be omitted, and/or
// - the result may be truncated from 64 to 32
// 2. Equality checks: `(val & mask) == expected`, where:
// - val may be truncated from 64 to 32 before masking (see
// ReduceWord32EqualForConstantRhs)
if (node->opcode() == IrOpcode::kWord32Equal) {
Uint32BinopMatcher eq(node);
if (eq.left().IsWord32And()) {
Uint32BinopMatcher mand(eq.left().node());
if (mand.right().HasResolvedValue() && eq.right().HasResolvedValue()) {
BitfieldCheck result{mand.left().node(), mand.right().ResolvedValue(),
eq.right().ResolvedValue(), false};
[ ... ]
可以看到对于(val & mask) == expected这种操作会被替换为BitfieldCheck，然后在一些情况下，两个BitfieldCheck会合并成一个，比如((x & 0) == 1) & ((x & 1) == 0)，这样的情况就会由二合一，但是漏洞也是在合并过程中产生的。
#【原创】chrome已提交的两个漏洞分析(二)#
http://cdn.u1.huluxia.com/g4/M01/63/9B/rBAAdmHv7DmACkZjAAB6tBaYWT0286.jpg

半度微凉 发表于 2022-1-29 11:05:30

支持支持再支持

大司命 发表于 2022-1-30 13:32:07

支持，楼下的跟上哈~

梦影 发表于 2022-1-31 16:08:02

确实不错，顶先

yichong 发表于 2022-2-4 21:57:06

沙发？？？

查看完整版本: 【原创】chrome已提交的两个漏洞分析(一)