CVE-2018-18500：Firefox堆漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2>
CVE-2018-18500是Mozilla Firefox浏览器中的一个安全漏洞，由SophosLabs于2018年11月发现并报告给Mozilla基金会。该漏洞涉及Firefox的Gecko引擎中的HTML5解析器组件，特别是在处理"自定义元素"时存在的一个释放后写入(Write After Free)内存损坏漏洞。<\/p>

技术背景：自定义元素<\/h2>
自定义元素是HTML标准中"Web组件"API的一部分，允许开发者创建新的HTML元素类型。基本示例：<\/p>
<body<\/span>>
<\/span><\/span>\/\/ 创建元素类
<\/span><\/span>class ExtendedBR extends HTMLBRElement {
<\/span><\/span>    constructor() {
<\/span><\/span>        super();
<\/span><\/span>        console.log("Extended BR created");
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>\/\/ 定义新元素
<\/span><\/span>customElements.define("extended-br", ExtendedBR, {extends: "br"});
<\/span><\/span>
<\/span><\/span><br<\/span> is<\/span>=<\/span>"extended-br"<\/span>>
<\/span><\/span><\/body<\/span>>
<\/span><\/span><\/code><\/pre>Firefox 63(2018年10月23日发布)首次引入了对自定义元素的支持。<\/p>
漏洞详情<\/h2>
漏洞存在于HTML树构建过程中创建自定义元素时的处理逻辑：<\/p>

Firefox在解析HTML时会调用nsHtml5TreeOperation::Perform()<\/code>和CreateHTMLElement()<\/code>函数<\/li>
当遇到自定义元素时，会调用JavaScript回调执行构造函数<\/li>
引擎代码在JavaScript回调周围使用C++对象但没有正确保存引用<\/li>
如果构造函数中止文档加载(如通过location.replace<\/code>)，会导致解析器资源被释放<\/li>
当引擎代码从回调返回后，会写入已释放的内存，造成释放后写入<\/li>
<\/ol>
关键代码片段：<\/p>
nsresult nsHtml5TreeOperation::<\/span>Perform(...) {
<\/span><\/span>    case<\/span> eTreeOpCreateHTMLElementNetwork:
<\/span><\/span>    case<\/span> eTreeOpCreateHTMLElementNotNetwork: {
<\/span><\/span>        nsIContent**<\/span> target =<\/span> mOne.node;
<\/span><\/span>        *<\/span>target =<\/span> CreateHTMLElement(...);  \/\/ 漏洞点：写入可能已释放的内存
<\/span><\/span><\/span><\/span>        return<\/span> NS_OK;
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞利用技术<\/h2>
触发漏洞的步骤<\/h3>


创建自定义元素并在其构造函数中执行：<\/p>
location<\/span>.replace<\/span>("about:blank"<\/span>);
<\/span><\/span>var<\/span> xhr<\/span> =<\/span> new<\/span> XMLHttpRequest<\/span>();
<\/span><\/span>xhr<\/span>.open<\/span>('GET'<\/span>, '\/delay.txt'<\/span>, false<\/span>);  \/\/ 同步XHR
<\/span><\/span><\/span><\/span>xhr<\/span>.send<\/span>(null<\/span>);
<\/span><\/span><\/code><\/pre><\/li>

同步XHR确保在构造函数返回前完成解析器资源的释放<\/p>
<\/li>

使用iframe技术保持主页面上下文继续执行JavaScript<\/p>
<\/li>
<\/ol>
堆利用技术<\/h3>


堆布局控制<\/strong>：<\/p>

利用FormData<\/code>对象进行堆grooming<\/li>
FormData<\/code>使用nsTArray<\/code>存储数据，可以精确控制分配大小<\/li>
通过追加\/删除操作控制特定大小内存块的分配和释放<\/li>
<\/ul>
<\/li>

目标对象选择<\/strong>：<\/p>

使用XMLHttpRequest<\/code>或FileReader<\/code>作为目标<\/li>
这些对象包含可以返回ArrayBuffer<\/code>的成员变量<\/li>
通过破坏这些对象的内部指针，可以创建指向任意内存的ArrayBuffer<\/code><\/li>
<\/ul>
<\/li>

运行回收技术<\/strong>：<\/p>

释放大块内存后重新分配为小块<\/li>
利用jemalloc的LIFO(后进先出)特性<\/li>
确保目标对象分配到之前释放的内存区域<\/li>
<\/ul>
<\/li>
<\/ol>
完整利用流程<\/h3>

使用FormData<\/code>分配和释放特定大小的内存块<\/li>
创建HTML解析器和mHandles<\/code>分配<\/li>
触发漏洞释放mHandles<\/code><\/li>
分配目标对象(XMLHttpRequest<\/code>\/FileReader<\/code>)到释放的内存区域<\/li>
通过自定义元素构造函数触发写入，破坏目标对象内部状态<\/li>
利用损坏的目标对象创建指向任意内存的ArrayBuffer<\/code><\/li>
通过ArrayBuffer<\/code>读写内存，实现任意代码执行<\/li>
<\/ol>
漏洞修复<\/h2>
该漏洞在Firefox 65.0中修复，修复方法是添加了对解析器资源的强引用：<\/p>
RefPtr<<\/span>nsHtml5StreamParser><\/span> streamParserGrip;
<\/span><\/span>if<\/span> (mParser) {
<\/span><\/span>    streamParserGrip =<\/span> GetParser()-><\/span>GetStreamParser();
<\/span><\/span>}
<\/span><\/span>mozilla::<\/span>Unused <<<\/span> streamParserGrip;  \/\/ 确保引用在函数期间保持
<\/span><\/span><\/span><\/code><\/pre>教学总结<\/h2>

理解漏洞本质<\/strong>：释放后写入内存损坏<\/li>
掌握触发条件<\/strong>：自定义元素构造函数中中止文档加载<\/li>
学习利用技术<\/strong>：堆布局控制、运行回收、目标对象选择<\/li>
实践利用开发<\/strong>：使用iframe保持执行上下文，精确控制内存分配<\/li>
了解防御措施<\/strong>：正确管理对象生命周期和引用<\/li>
<\/ol>
扩展学习<\/h2>

研究jemalloc\/mozjemalloc内存分配器特性<\/li>
深入了解HTML5解析器工作原理<\/li>
学习现代浏览器安全缓解措施及其绕过方法<\/li>
分析更多自定义元素相关的安全漏洞<\/li>
<\/ol>
通过本教学文档，您应该能够全面理解CVE-2018-18500漏洞的原理、利用方法及防御措施，为进一步研究浏览器安全奠定基础。<\/p>