Видео [OffensiveCon22] Chrome - Data-only Sandbox Escapes

[weaver]

Описание

С момента появления песочницы Chrome создателям эксплойтов потребовалось выйти из этой песочницы. Со временем технологии, используемые для реализации "песочницы", эволюционировали, и технологии, используемые для использования уязвимостей "песочницы", также эволюционировали. Текущий механизм IPC, используемый для реализации функциональности sandbox broker, называется Mojo, и в этом докладе рассказывается о различных способах, которыми злоумышленник может превратить сильную уязвимость средства визуализации в возможность отправлять произвольные сообщения IPC для выхода из песочницы.

Кодовая база Chromium включает привязки к V8, называемые MojoJS, которые используются для реализации привилегированных страниц и они недоступны для обычного веб-сайта. После того, как в нашем блоге за 2019 год был описан простой способ повторного включения этих привязок, число зарегистрированных уязвимостей Mojo значительно увеличилось. В этом докладе будет рассмотрено состояние методов эксплуатации песочницы Chrome в 2021 году, обсуждаются различные методы, которые использовались для взаимодействия с интерфейсами Mojo в эксплойтах, которые мы видели, а также плюсы и минусы этих подходов.

Видео [En]
youtube.com/watch?v=iyQ44bltV6A&list=PLYvhPWR_XYJnPvrhXE4RYvwZhV26nYTIp&index=16