Chrome浏览器解优化过程中的漏洞安全研究.pdf

C h r o m e 浏览器解优化过程中的 漏洞安全研究 刘博寒 腾讯安全玄武实验室 Chrome 浏览器解优化过程中的漏洞安全研究 1. 背景知识 2. 解优化模块历史漏洞分析 3. 解优化漏洞利用技术研究 4. 总结 Chrome安全现状 Chrome作为当前市场占比最高的浏览器，是最为广泛的互联网入口，饱受APT攻击、0day漏洞 的困扰。 Chrome安全现状 根据对Google捕获或收到的Chrome在野漏洞报告统计，V8引擎占比大于50%。而在V8漏洞中， 优化漏洞由于数量多品相好、可利用性高等特点，在V8引擎漏洞中占比很大，也是攻击者挖掘的 主要目标。 CVE编号 类型 CVE-2021-21148 Heap buffer overflow in V8. CVE-2021-21166 Object lifecycle issue in audio. CVE-2021-21193 Use after free in Blink. CVE-2021-21224 Type Confusion in V8. CVE-2021-21206 Use after free in Blink. CVE-2021-21220 Insufficient validation of untrusted input in V8 for x86_64. CVE-2021-30554 Use after free in WebGL. CVE-2021-30551 Type Confusion in V8. CVE-2021-30563 Type Confusion in V8. CVE-2021-37975 Use after free in V8. CVE-2021-37976 Information leak in core. Chrome安全现状 但Google对待优化类漏洞的修 复比较激进，在修复漏洞的同 时，也会对通用的利用方法增 加防御措施。 1. 背景知识 V8中js代码执行流程 Ignition Ignition是V8引擎中架构独立的解释执行器。JavaScript源码首先被解析成AST ，然后生成 Bytecode，Bytecode是Ignition执行的基本单位。 V8中js代码执行流程 Turbofan 当在Ignition中执行足够多次，Turbofan会根据收集到参数信息进行推断优化，生成JIT代码。 Turbofan原理 解优化 当JIT能处理的类型不能满足输入的要求时，JIT代码会解优化，回退到对应Bytecode中去执行。 add(“a”,”b”,”c”); ? Turbofan原理 Turbofan的解析阶段 Native Context Typer General Graph Specialization Code Bui