Chrome 0 day漏洞分析：CVE-2019-5786技术文档

漏洞概述

CVE-2019-5786是Chrome浏览器中的一个高危0 day漏洞，存在于FileReader API中。该漏洞由谷歌漏洞分析组的Clement Lecigne发现并报告，已被发现在野外被利用攻击Windows 7 32位平台。漏洞可导致渲染器进程中的代码执行问题，并可能进一步破坏主机系统。

漏洞技术分析

漏洞本质

该漏洞是一个引用计数问题，涉及对同一个底层ArrayBuffer的多次引用。具体表现为在FileReader API的实现中，对ArrayBuffer的不当处理可能导致use-after-free条件。

受影响代码

漏洞主要存在于FileReaderLoader类的ArrayBufferResult函数中，该函数负责在用户访问FileReader.result成员时返回数据。

补丁对比

旧版本代码:

DOMArrayBuffer* ArrayBufferResult() {
  if (array_buffer_result_)
    return array_buffer_result_;
  
  if (finished_loading_) {
    array_buffer_result_ = DOMArrayBuffer::Create(raw_data_->ToArrayBuffer());
    return array_buffer_result_;
  }
  
  return DOMArrayBuffer::Create(raw_data_->ToArrayBuffer());
}

修补后版本:

DOMArrayBuffer* ArrayBufferResult() {
  if (array_buffer_result_)
    return array_buffer_result_;
  
  if (finished_loading_) {
    array_buffer_result_ = DOMArrayBuffer::Create(raw_data_->ToArrayBuffer());
    return array_buffer_result_;
  }
  
  return DOMArrayBuffer::Create(
      ArrayBuffer::Create(raw_data_->Data(), raw_data_->ByteLength()));
}

关键差异

1. 在数据未完全加载时(finished_loading_为false)，修补前版本直接使用raw_data_->ToArrayBuffer()，而修补后版本使用ArrayBuffer::Create创建新的缓冲区并复制数据。

2. ArrayBufferBuilder::ToArrayBuffer()会根据bytes_used_的值返回包含数据副本的较小ArrayBuffer或直接返回缓冲区数据。

漏洞利用条件

1. 需要在finished_loading设置为true之前多次访问ArrayBufferBuilder::ToArrayBuffer()
2. 数据需要被完全读取
3. 多次调用ToArrayBuffer()会增加引用计数，可能导致use-after-free问题

漏洞验证方法

测试代码示例

// 创建一个大Blob以强制触发多次progress事件
const blob = new Blob([new Uint8Array(1024 * 1024 * 10)]); // 10MB数据
const reader = new FileReader();

reader.onprogress = function(e) {
  // 多次访问result属性
  const buf1 = reader.result;
  const buf2 = reader.result;
  
  // 检查两个缓冲区是否相同
  if (buf1.byteLength === buf2.byteLength) {
    // 创建视图修改底层数据
    const view1 = new Uint8Array(buf1);
    const view2 = new Uint8Array(buf2);
    view1[0] = 0x41;
    if (view2[0] === 0x41) {
      console.log("Vulnerable!");
    }
  }
};

reader.readAsArrayBuffer(blob);

调试方法

1. 下载受影响版本的Chrome(如72.0.3626.119)
2. 附加调试器到渲染器进程(chrome_child.dll)
3. 在FileReaderLoader::ArrayBufferResult函数设置断点
4. 观察ArrayBufferBuilder::ToArrayBuffer()的调用情况

漏洞利用思路

1. 引用计数溢出：通过多次调用ToArrayBuffer()使引用计数接近最大值
2. 内存控制：利用释放的大缓冲区进行堆布局
   • 在Windows 7 32位系统上更易实现，因为地址空间较小
   • 可能需要分配大量对象(约10k)来控制地址空间中的元数据
3. 元数据破坏：通过控制释放的内存区域来破坏JavaScript对象元数据

后续攻击链

在实际攻击中，攻击者通常需要结合其他漏洞完成完整攻击链：

1. 首先利用此漏洞在渲染器进程中获取代码执行权限
2. 由于Chrome的沙箱限制，需要第二个漏洞逃离沙箱
3. 在网络发现的攻击中，攻击者使用了Windows内核漏洞(CVE-2019-0808)来逃离沙箱

防护措施

1. 更新Chrome到最新版本(72.0.3626.121及以上已修复)
2. 启用Chrome的自动更新功能
3. 对于企业环境，可考虑部署应用防护解决方案

总结

CVE-2019-5786是一个典型的引用计数导致的use-after-free漏洞，展示了浏览器安全机制中的细微缺陷可能带来的严重后果。该漏洞的分析过程也体现了：

1. 通过补丁对比分析漏洞的技术价值
2. 现代浏览器复杂的安全机制和攻击面
3. 漏洞利用需要考虑操作系统特性和防御机制

参考资料

1. Chrome稳定版更新公告
2. 谷歌安全博客
3. Chromium问题跟踪
4. Chromium源代码
5. 相关内核漏洞分析