【原创漏洞】WebAssembly高危漏洞影响Edge和Safari浏览器

宣布时间 2019-03-26

漏洞概述

2018年10月，东森平台ADLab发现浏览器WebAssembly�？榇嬖诟呶Ｂ┒�，并第一时间通报苹果和微软官方进行修复。该漏洞位于对应浏览器JavaScript引擎(JavaScriptCore/ChakraCore)与WebAssembly�？榈慕涌�，可同时影响Edge、Safari浏览器。

2019年3月25日，苹果宣布了针对该漏洞的宁静补�。–VE-2019-6201）；微软的对应漏洞补丁已于2019年2月12日宣布。提醒广大用户尽快将浏览器升级到最新版本。

漏洞影响范围

Microsoft Windows 10操作系统的Edge浏览器
Apple iOS/macOS操作系统的Safari浏览器
其他平台上基于WebKit的组件和产物

漏洞简析

攻击者可通过精心结构的html网页，使用户在使用浏览器访问网页时触发漏洞。该漏洞在浏览器漏洞利用中可以直接作为fakeobj原语。通常addrof与fakeobj原语结合可以直接获得任意代码执行的能力，在一些特殊情况下，单独使用fakeobj原语也可以完成漏洞利用。

该漏洞的简要分析如下（以Safari/WebKit CVE-2019-6201为例）：
WebAssemblyModuleRecord::link卖力解析WebAssembly�？橹械母鞲鼋峁�，在解析导出表时，有：

在加载导出的全局变量时，有Wasm::I32、Wasm::I64、Wasm::F32、Wasm::F64四种类型，是WebAssembly尺度中指定的数据类型(descriptor)，分别体现32位、64位的整数和浮点数，在.wasm文件中用一个字节确定；随后凭据变量类型的长度从.wasm文件中继续取出具体数据(value)，封装成JSValue供JavaScript上下文使用。

以“case Wasm::F64为例”，debug版的代码会检查外来数据是否是一个切合IEEE754尺度的双精度浮点数：

Release版本会在编译过程将isImpureNaN这一检查去掉，此时外来数据如果是一个NaN(Not a Number)，例如0xffff000000888888，在通过加法(+DoubleEncodeOffset)封装成JSValue时会发生溢出，酿成0x888888。由于Safari的boxing规则，这样的一个JSValue会被看成指针，因而发生类型混淆漏洞。

漏洞修补则顺其自然地把去掉的检查补回来：

Edge浏览器的漏洞和补丁也非常相似：

可以看到，在WebAssembly尺度的实现中微软、苹果犯了类似的错误，导致漏洞的面貌也极其相似，漏洞原理也并不庞大。该漏洞是在WebAssembly功效实现时直接引入的，在Edge、Safari中已潜伏了2年。

另一方面，由于JavaScript引擎也无法良好地实现i64类型的WebAssembly变量，因此无论是Safari/WebKit还是Edge都拒绝对该类型及进行处置。MDN也在WebAssembly导出函数章节提到：“如果你实验调用一个接受或返回一个i64类型导出的wasm函数，目前它会抛出一个错误，因为JavaScript没有精确的方式来标识一个i64。不外，这在将来可能会改变——在将来的尺度中，将考虑新的i64类型。届时，wasm可以使用它”。

这给我们的启示：

新技术、新尺度会带来新的攻击面，尺度的实现过程可能会陪同宁静问题。
差异�？轳詈鲜笨赡芑岽蚱颇衬？槟诓康募偕�，需要谨慎看待。
凭据该漏洞的特点，东森平台ADLab已连续发现了若干漏洞和代码问题，并已通报厂商进行修复。

漏洞时间轴

2018年10月30日，东森平台ADLab向苹果提交漏洞。
2018年11月6日，东森平台ADLab向微软提交漏洞。
2018年11月27日，苹果在WebKit代码库中修复漏洞。
2019年1月24日，微软在ChakraCore代码库中修复漏洞。
2019年2月12日，微软为Edge浏览器推送宁静性更新，并披露CVE编号。
2019年3月25日，苹果为Safari浏览器等产物推送宁静性更新，并披露CVE编号。

宁静建议

安装厂商推送的宁静性更新，更新至最新版本。
为了方便社区孝敬代码，Edge、Safari在内的常见浏览器产物往往将核心引擎组件开源，而开源代码堆栈中的每次补丁提交均包罗部门漏洞信息。因此在厂商正式披露漏洞并为产物推送补丁之前，黑客有一个结构漏洞POC的攻击时间窗。为了缩小这一时间窗，终端用户应及时安装厂商提供的宁静性更新。

参考链接：

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0607
https://support.apple.com/en-us/HT209599
https://developer.mozilla.org/zh-CN/docs/WebAssembly/Exported_functions

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

【原创漏洞】WebAssembly高危漏洞影响Edge和Safari浏览器

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线