Safari信息泄露漏洞分析

我们可以看到在这种情况下，有一个输入数组的indexing类型为ArrayWithUndecided，结果indexing类型将会是另一个数组的indexing类型。因此，如果我们我们用一个indexing类型为ArrayWithUndecided的数组和另一个indexing类型为ArrayWithDouble的数组去调用Array.prototype.concat方法的话，我们将会按照快速路径[[2]]运行，并将两个数组进行拼接。

这段代码并不能保证这两个“butterfly”(JavaScript引擎攻击技术里的一种概念，详情请参考【这篇文章】)在代码调用memcpy之前能够正确初始化。这也就意味着，如果我们能够找到一条允许我们创建一个未初始化数组并将其传递给Array.prototype.concat的代码路径，那我们就能够在堆内存中拥有一个包含了未初始化值的数组对象了，而且它的indexing类型还不是ArrayWithUndecided。从某种程度上来说，这个安全问题跟lokihardt在2017年报告的一个旧漏洞有些相似，只不过利用方式不同。

在创建这种数组对象时，可以利用NewArrayWithSize DFG JIT的操作码来实现，在对FTLLowerDFGToB3.cpp中FTL所实现的allocateJSArray操作码进行分析之后，我们可以看到这个数组将会包含未初始化的值。引擎根本不需要对数组进行初始化，因为这个数组的indexing类型为ArrayWithUndecided。

ArrayValuesallocateJSArray(LValue publicLength, LValue vectorLength, LValue structure,LValue indexingType, bool shouldInitializeElements = true, boolshouldLargeArraySizeCreateArrayStorage = true)  
{  
    [ ... ]  
    initializeArrayElements(  
       indexingType,  
       shouldInitializeElements ?m_out.int32Zero : publicLength, vectorLength,  
       butterfly);  
...  
voidinitializeArrayElements(LValue indexingType, LValue begin, LValue end, LValuebutterfly)  
{  
    if (begin == end)  
        return;    
    if (indexingType->hasInt32()) {  
        IndexingType rawIndexingType =static_cast<IndexingType>(indexingType->asInt32());  
        if (hasUndecided(rawIndexingType))  
            return;  // [[ 4 ]] 

语句new Array(n)在被FTL JIT编译时将会触发[[4]]，然后返回一个indexing类型为ArrayWithUndecided的数组，其中就包含未初始化的元素。

漏洞利用

（编辑：网站开发网_安阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!