Chrome AppCache子系统SBX的UAF漏洞分析与利用<\/h1>

漏洞概述<\/h2>
本漏洞存在于Chrome 69.0及以下版本的AppCache子系统中，涉及沙箱(SBX)外的浏览器进程。攻击者可通过渲染器进程向浏览器进程发送特定IPC消息，利用引用计数管理不当导致的Use-After-Free(UAF)漏洞，最终实现任意代码执行。<\/p>

技术细节<\/h2>

受影响版本<\/h3>

Google Chrome 69.0及以下版本<\/li>
CVE编号: CVE-2018-17462<\/li>

修复版本: Chrome 70<\/li> <\/ul>

漏洞位置<\/h3>
漏洞位于AppCache子系统中，具体在浏览器进程(非沙箱内)的引用计数管理部分。<\/p>

漏洞原理<\/h3>

AppCache使用引用计数机制管理对象生命周期<\/li>
当清空应用缓存时，会调用RemoveCache<\/code>函数<\/li>

问题在于newest_complete_cache_<\/code>对象的引用计数管理不当：

可先将newest_complete_cache_<\/code>设为NULL<\/li>
然后调用CancelUpdate<\/code>进行修复<\/li>
通过递减newest_complete_cache_<\/code>对象的引用计数至0来触发释放<\/li>
<\/ul>
<\/li>
当引用计数减至0时，会调用AppCache析构函数释放对象<\/li>
<\/ol>
关键代码片段<\/h3>
void<\/span> AppCacheGroup::<\/span>RemoveCache(AppCache*<\/span> cache) {
<\/span><\/span>  DCHECK(cache-><\/span>associated_hosts().empty());
<\/span><\/span>  if<\/span> (cache ==<\/span> newest_complete_cache_) {
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>  } else<\/span> {
<\/span><\/span>    scoped_refptr<<\/span>AppCacheGroup><\/span> protect(this<\/span>);
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>  }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞利用<\/h2>
利用条件<\/h3>

能够控制被释放对象的第一个双字节中的递减量(N)<\/li>
当递减使第一个双字节变为0时，会调用AppCache析构函数<\/li>
<\/ol>
利用步骤<\/h3>
阶段一: 信息泄露<\/h4>

释放的AppCache对象大小为0xA0字节<\/li>
发现net::CanonicalCookie<\/code>具有相同大小<\/li>
通过发出网络请求并在响应中包含cookie来散布cookie<\/li>
利用std::string<\/code>的name字段(第一个四字节为字符串数据指针)泄露堆地址<\/li>
<\/ol>
阶段二: 代码执行<\/h4>

为已释放的AppCache生成野指针<\/li>
使用相同大小的二进制大对象(BLOB)回收内存<\/li>
伪造引用计数(初始为1，后递减为0)<\/li>
触发AppCache析构函数调用<\/li>
利用AppCacheGroup析构函数中的虚函数调用实现控制流劫持<\/li>
<\/ol>
AppCacheGroup::~<\/span>AppCacheGroup() {
<\/span><\/span>  \/\/ ...
<\/span><\/span><\/span><\/span>  if<\/span> (update_job_)
<\/span><\/span>    delete<\/span> update_job_; \/\/ <- 代码执行点
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>Windows平台利用特点<\/h3>

ASLR导致所有模块在渲染器和代理进程中加载到相同地址<\/li>
使用_longjmp_internal<\/code> gadget构建ROP链<\/li>
可选择直接跳转至shellcode或打开记事本等操作<\/li>
<\/ul>
防护建议<\/h2>

升级至Chrome 70或更高版本<\/li>
启用Chrome自动更新功能<\/li>
在浏览器中禁用AppCache功能(可通过chrome:\/\/flags)<\/li>
部署内存保护机制如CFG(Control Flow Guard)<\/li>
<\/ol>
参考代码<\/h2>
漏洞利用中使用的部分HTML\/JavaScript代码框架:<\/p>
<head<\/span>>
<\/span><\/span><title<\/span>>owning, please wait...<\/title<\/span>>
<\/span><\/span><style<\/span>>
<\/span><\/span>body<\/span>{background<\/span>:white<\/span>;font-size<\/span>:0.8<\/span>em<\/span>;}
<\/span><\/span>document<\/span>{background<\/span>:white<\/span>;}
<\/span><\/span><\/style<\/span>>
<\/span><\/span><\/head<\/span>>
<\/span><\/span><pre<\/span> id<\/span>=<\/span>"progress"<\/span>><\/pre<\/span>>
<\/span><\/span><pre<\/span> id<\/span>=<\/span>"progress-rce"<\/span>><\/pre<\/span>>
<\/span><\/span><pre<\/span> id<\/span>=<\/span>"progress-infoleak"<\/span>><\/pre<\/span>>
<\/span><\/span><pre<\/span> id<\/span>=<\/span>"progress-rip"<\/span>><\/pre<\/span>>
<\/span><\/span><script<\/span> src<\/span>=<\/span>"crypto\/BigInteger.js"<\/span>><\/script<\/span>>
<\/span><\/span><script<\/span> src<\/span>=<\/span>"crypto\/aes.js"<\/span>><\/script<\/span>>
<\/span><\/span><script<\/span>>
<\/span><\/span>\/\/ 加密通信和漏洞利用代码...
<\/span><\/span><\/span><\/span><\/script<\/span>>
<\/span><\/span><\/code><\/pre>总结<\/h2>
该漏洞展示了Chrome沙箱外组件中的内存安全问题如何被利用来突破浏览器安全边界。通过精心构造的IPC消息和内存操作，攻击者可以绕过沙箱保护实现任意代码执行。这强调了即使是高度安全的浏览器架构，也需要对所有组件(包括沙箱外部分)进行严格的安全审计。<\/p>

Chrome AppCache子系统SBX的UAF漏洞分析与利用<\/h1>

技术细节<\/h2>

漏洞位置<\/h3> 漏洞位于AppCache子系统中，具体在浏览器进程(非沙箱内)的引用计数管理部分。<\/p>

漏洞利用<\/h2>

利用步骤<\/h3>

漏洞位置<\/h3>
漏洞位于AppCache子系统中，具体在浏览器进程(非沙箱内)的引用计数管理部分。<\/p>