保定一个有关 V8 漏洞的细节分析 （一）

当开发人员决定使用新的Torque语言重新实现两个CodeStubAssembler（CSA）函数时，V8中就会出现漏洞。这两个函数用于在JavaScript中创建新的FixedArray和FixedDoubleArray对象，尽管新的实现乍看之下是有效的，但它们缺少一个关键组成部分：更大长度检查，以确保新创建的数组的长度不会超过预定义的上限。

在一般人看来，这个缺失的长度检查看起来很正常，但对于攻击者来说，就可以利用了TurboFan的typer来获取访问权限中的一个非常强大的利用原语：数组，其长度字段远大于其容量。该原语为攻击者提供了V8堆上的越界访问原语，这很容易导致代码执行。

漏洞实现过程

如果要继续，则需要构建V8版本8.5.51（提交64cadfcf4a56c0b3b9d3b5cc00905483850d6559），建议使用完整符号进行构建（修改args.gn并添加symbol_level = 2行）。

在x64.release目录中，你可以使用以下命令以零编译器优化来编译发行版本：

find