【原创】chrome已提交的两个漏洞分析(一)

无名 · 发表于 2022-5-8 19:15:24

早在chrome一次更新修复该漏洞后就关注到了这个漏洞，不过当时是一个研究者一次提交了两个漏洞，还都是21000美元的高悬赏，我当时只注意到了CVE-2021-30598的两次patch，看到其中一次将typeguard改为checkbound，猜测是可以达到rce的。

30598
30599

环境搭建 :
在v8环境搭完后
git reset --hard 27a517b8922915f53d479133205ee80b35ac2feb
gclient sync

漏洞分析:
这是发生在machine-operator-reducer.cc（

本帖隐藏的内容需要【资源会员】才可浏览，您需要升级才可浏览，点击这里升级【资源会员】

static base::Optional<BitfieldCheck> Detect(Node* node) {
// There are two patterns to check for here:
// 1. Single-bit checks: `(val >> shift) & 1`, where:
// - the shift may be omitted, and/or
// - the result may be truncated from 64 to 32
// 2. Equality checks: `(val & mask) == expected`, where:
// - val may be truncated from 64 to 32 before masking (see
// ReduceWord32EqualForConstantRhs)
if (node->opcode() == IrOpcode::kWord32Equal) {
Uint32BinopMatcher eq(node);
if (eq.left().IsWord32And()) {
Uint32BinopMatcher mand(eq.left().node());
if (mand.right().HasResolvedValue() && eq.right().HasResolvedValue()) {
BitfieldCheck result{mand.left().node(), mand.right().ResolvedValue(),
eq.right().ResolvedValue(), false};
[ ... ]
可以看到对于(val & mask) == expected这种操作会被替换为BitfieldCheck，然后在一些情况下，两个BitfieldCheck会合并成一个，比如((x & 0) == 1) & ((x & 1) == 0)，这样的情况就会由二合一，但是漏洞也是在合并过程中产生的。
#【原创】chrome已提交的两个漏洞分析(二)#

[TSD/原创] 【原创】chrome已提交的两个漏洞分析(一)

相关帖子