Sentinel Value泄露與Chrome V8 HardenProtect繞過

Chrome原始碼中存在大量Sentinel value，這些特殊值在算法中通常用作循環或遞歸的終止條件。近期研究表明，某些Sentinel value的泄露可能導致Chrome沙箱內任意代碼執行。

除了已知的TheHole對象外，V8中還有其他不應泄露到JavaScript環境中的原生對象。本文重點討論Uninitialized Oddball對象，這種繞過方法目前仍可應用於最新版V8，尚未得到修復。

值得注意的是，這種方法具有廣泛的適用性。在多個已報告的漏洞中，泄露Uninitialized Oddball都可能導致遠程代碼執行。這凸顯了對可能受PatchGap影響的軟件進行全面審核的必要性。

V8中的大多數原生對象定義在v8/src/roots/roots.h文件中，它們在內存中相鄰排列。一旦這些對象被錯誤地暴露給JavaScript，就可能實現沙箱內任意代碼執行。

爲驗證這一方法，我們可以修改V8的原生函數，使其返回Uninitialized Oddball對象。通過這種方式，我們能夠在最新版V8中實現相對任意的內存讀取。

這種繞過方法的核心在於，優化後的JavaScript函數在訪問數組元素時，沒有充分檢查數組的類型信息，而是直接計算偏移量獲取值。這導致了類型混淆，從而實現任意讀取。

建議的修復方案是在優化後的函數返回數組元素時，增加對數組map的檢查，避免直接通過偏移量計算來返回數組值。

此外，我們還需要關注軟件供應鏈中可能存在的PatchGap問題。一些廣泛使用的軟件可能仍未修復這類漏洞，這爲攻擊者提供了可能的突破口。

總的來說，V8中存在多種Sentinel value，它們的泄露可能導致安全問題。未來的研究方向可能包括：探索其他Uninitialized Oddball泄露的影響、評估將Sentinel value作爲變量引入模糊測試的可行性，以及更全面地審視相關安全問題。無論這類問題是否被正式列爲安全漏洞，它們都可能顯著縮短攻擊者實現完整利用的時間。