V8 Sandbox

• V8 sandbox'ı, V8 motoru için hafif, süreç içi bir sandbox'tır
• Artık deneysel aşamayı geçti ve Chrome'un Güvenlik Açığı Ödül Programı'na (VRP) dahil edildi
  • Hâlâ çözülmesi gereken güvenlik sorunları var ve Chrome 123 sürümü sandbox'ın "beta" sürümü olarak kabul edilebilir

Motivasyon

• Bellek güvenliği hâlâ önemli bir sorun; son 3 yılda bulunan tüm Chrome exploit'leri V8'in bellek bozulması açıklarıyla başladı
• Bu açıkların %60'ı V8'de ortaya çıktı, ancak çoğu "tipik" bellek bozulması hataları değil, daha incelikli mantık sorunlarıydı
• Mevcut bellek güvenliği çözümlerinin çoğu V8'e uygulanamıyor; Rust gibi bellek güvenli dillerine geçiş veya bellek etiketleme gibi donanım özellikleri de V8'in güvenlik zorluklarına yardımcı olmuyor

V8 (heap) sandbox'ı

• Sandbox'ın temel fikri, V8'in heap belleğini izole ederek bellek bozulmasının sürecin diğer bölümlerine "yayılmasını" önlemek
• Donanım desteğiyle uygulanabilir, ancak şu anda uygun donanım özellikleri olmadığından yazılım tabanlı olarak uygulanıyor
• Sandbox, dış belleğe erişebilen tüm veri tiplerini "sandbox uyumlu" alternatiflerle değiştiriyor
• Sandbox içindeki yalnızca V8 heap'i sandbox'ın içinde yer alıyor; bu, WebAssembly'nin sandbox modeline benziyor

Performans

• Sandbox yaklaşımının başlıca avantajı, temelde düşük maliyetli olması
• Sandbox kaynaklı ek yük, çoğunlukla dış nesnelere yönelik pointer table dolaylı başvurularından kaynaklanıyor; mevcut ek yük tipik iş yüklerinde %1'in altında

Test

• Güvenlik sınırı için test edilebilirlik, güvenlik garantisinin gerçekten korunup korunmadığını hem manuel hem otomatik olarak test edebilme anlamına geliyor
• V8 sandbox'ı; net bir saldırgan modeli, saldırganı taklit etme yöntemi ve güvenlik sınırı başarısız olduğunda bunu otomatik olarak belirleme yöntemi açısından tüm gereksinimleri karşılıyor

Kullanım

• V8 sandbox'ı, derleme zamanında v8_enable_sandbox derleme bayrağı kullanılarak etkinleştirilmeli/devre dışı bırakılmalı
• Yalnızca 64 bit sistemlerde kullanılabiliyor ve şu anda 1 terabayt sanal adres alanı ayırmayı gerektiriyor
• V8 sandbox'ı, Android, ChromeOS, Linux, macOS ve Windows'un 64 bit Chrome sürümlerinde zaten yaklaşık 2 yıldır varsayılan olarak etkin

Sonuç

• V8 sandbox'ı, V8'deki bellek bozulmasının sürecin diğer bellek alanlarını etkilemesini önlemek için tasarlanmış yeni bir güvenlik mekanizmasıdır
• Mevcut bellek güvenliği teknolojileri optimize edilmiş JavaScript motorlarına büyük ölçüde uygulanamasa da, V8 sandbox saldırı yüzeyini korumada etkilidir
• Sandbox, bellek güvenliğine giden yolda gerekli bir adımdır

GN⁺ Görüşü

• V8 sandbox'ı, bellek bozulması açıklarına karşı modern bir karşı önlem olarak, mevcut bellek güvenliği teknolojilerinin çözemediği sorunlara bir yanıt sunuyor
• Bu sandbox, JavaScript motorlarının karmaşıklığı göz önüne alındığında güvenlik sınırlarını daha da güçlendirmede ve bellek güvenliğini artırmada önemli bir rol oynuyor
• Sandbox'ın performans ek yükünün düşük olması geliştiriciler için çekici olabilir; bu da sandbox'ın yaygın biçimde benimsenmesine yardımcı olacaktır
• Ancak sandbox teknolojisinin tamamen yeni güvenlik açıkları ortaya çıkarma ihtimali de var; bu risk sürekli izleme ve test ile yönetilmelidir
• Sandbox'ın etkili biçimde uygulanması, saldırganların bellek bozulmasını sistemin diğer bölümlerine yaymasını önlemede kritik rol oynar; bu da web güvenliğini güçlendirmeye katkı sağlar