📢 Gate廣場 #创作者活动第一期# 火熱開啓,助力 PUMP 公募上線!
Solana 爆火項目 Pump.Fun($PUMP)現已登入 Gate 平台開啓公開發售!
參與 Gate廣場創作者活動,釋放內容力量,贏取獎勵!
📅 活動時間:7月11日 18:00 - 7月15日 22:00(UTC+8)
🎁 活動總獎池:$500 USDT 等值代幣獎勵
✅ 活動一:創作廣場貼文,贏取優質內容獎勵
📅 活動時間:2025年7月12日 22:00 - 7月15日 22:00(UTC+8)
📌 參與方式:在 Gate 廣場發布與 PUMP 項目相關的原創貼文
內容不少於 100 字
必須帶上話題標籤: #创作者活动第一期# #PumpFun#
🏆 獎勵設置:
一等獎(1名):$100
二等獎(2名):$50
三等獎(10名):$10
📋 評選維度:Gate平台相關性、內容質量、互動量(點讚+評論)等綜合指標;參與認購的截圖的截圖、經驗分享優先;
✅ 活動二:發推同步傳播,贏傳播力獎勵
📌 參與方式:在 X(推特)上發布與 PUMP 項目相關內容
內容不少於 100 字
使用標籤: #PumpFun # Gate
發布後填寫登記表登記回鏈 👉 https://www.gate.com/questionnaire/6874
🏆 獎勵設置:傳播影響力前 10 名用戶,瓜分 $2
Chrome V8 Sentinel Value安全隱患:Uninitialized Oddball對象泄露可能導致沙箱逃逸
Sentinel Value在Chrome V8中的安全隱患
Sentinel value是算法中的特殊值,常用於循環或遞歸算法的終止條件。Chrome源碼中存在多種Sentinel value,其中一些如果泄露到JavaScript環境中可能導致安全問題。
之前有研究表明,泄露TheHole對象可以實現沙箱內任意代碼執行。谷歌團隊對此進行了修復。但實際上,V8中還有其他原生對象不應泄露到JS中,如Uninitialized Oddball對象。
Uninitialized Oddball對象的泄露可能導致沙箱逃逸。這個問題最早出現在Issue1352549中,目前仍未修復。該方法具有一定通用性,曾在多個漏洞中出現。
V8中的原生對象定義在v8/src/roots/roots.h文件中,它們在內存中相鄰排列。一旦這些對象泄露到JavaScript環境,就可能實現沙箱逃逸。
爲驗證這個問題,可以修改V8的native函數,將Uninitialized Oddball泄露到JavaScript中。具體可以修改%TheHole()函數的實現。
利用Uninitialized Oddball對象可以繞過HardenType保護。通過構造特定的JavaScript代碼,可以實現相對任意的內存讀寫。這是由於優化後的代碼沒有充分檢查對象屬性。
對於修復建議,應在優化後的函數返回數組元素時,添加對數組map的檢查,避免直接計算偏移返回數值。
這個問題也提醒我們注意PatchGap,即某些軟件可能使用未修復該漏洞的V8版本。例如Skype目前仍未修復這個問題。在x86架構下,由於沒有地址壓縮,可以實現進程範圍內的任意讀寫。
總的來說,V8中還有多種Sentinel value可能存在類似安全隱患。建議進一步研究其他Uninitialized Oddball泄露的影響,考慮將這類對象納入模糊測試範圍,以發現更多潛在利用方式。無論如何,這類問題都可能大大縮短攻擊者的漏洞利用週期。