В Firefox и Tor была RCE уязвимость (CVE-2024-9680)

[weaver]

Вы заразили виртуалку. Дальше что?

Дальше VM escape, вот пример такой цепочки /threads/121985/ правда там Google Chrome.

Это очень крутая демонстрация цепочки. Тут разве что не хватает еще UEFI. Но в контексте деанонимизации уже после VM эксплойта можно сделать ping куда надо.

 

[weaver]

Отчет
https://www.welivesecurity.com/en/e...ts-firefox-and-windows-zero-days-in-the-wild/

 

[UnixSoft]

Из какого то дешевого бага, смогли сделать полноценный RCE+LPE вроде бы казалось use-after-free, но как то смогли манипулировать JIT компилятором, что я до конца еще не понимаю как, хотелось бы взглянуть что они исправили в нем или не исправили во все. Параноикам можно отключать V8 в хром, в Мозилле отключать JIT

 

[weaver]

Из какого то дешевого бага, смогли сделать полноценный RCE+LPE вроде бы казалось use-after-free, но как то смогли манипулировать JIT компилятором,

Там две уязвимости использовалось. Одна в винде другая в фф. Собственно браузерные эксплойты и строятся на JIT эксплуатации, если посмотришь на старые эксплойты до 2018 года.

JIT-exploitation

Основная идея JIT-Exploitation (Just-In-Time Exploitation) заключается в том, чтобы использовать возможности системы динамической компиляции, известной как JIT-компиляция (Just-In-Time compilation), для создания и выполнения вредоносного кода в памяти целевой программы.

Just-In-Time компилятор преобразует код, написанный на языке высокого уровня, в машинный код, и сохраняет этот код в оперативной памяти, чтобы приложение смогло исполнить его, так сказать, на лету. Алгоритмы JIT-компилятора могут быть разными, и разные JIT-компиляторы работают поразному.

JIT-Page RWX
Например, имея в своем распоряжениие примитивы чтения\записи можно записать шелл-код в JIT-регион памяти, который помечен, как RWX.

Вы можете сделать так, чтобы функция стала «горячей», и получить JIT-компиляцию, что приведет к созданию JIT-страницы с правами на чтение, запись и выполнение (RWX), которую вы можете перезаписать своим собственным шелл-кодом.

Примечание.
Этот способ работал до 2018 года. Теперь JIT-страницы переключаются между режимами чтения-записи (RW) и чтения-выполнения (RX) по мере необходимости. Они никогда не бывают RWX.

что я до конца еще не понимаю как,

Подробное объяснение как https://www.sentinelone.com/labs/firefox-jit-use-after-frees-exploiting-cve-2020-26950/

В этой статье написано что в V8 WASM RWX но это уже не так. Там уже другие хитрости

https://tiszka.com/blog/CVE_2021_21225_exploit.html

Да и в обще там в V8 песочница появилась.

цитата из отчета ESET

Этот первый шелл-код просто извлекает второй шелл-код, выполняя поиск в памяти жестко закодированного магического значения 0x8877665544332211 , меняет защиту памяти на чтение-запись-выполнение (RWX) и выполняет код, расположенный по этому адресу.