{"id":339134,"date":"2022-09-30T09:00:26","date_gmt":"2022-09-30T09:00:26","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=339134"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=339134","title":{"rendered":"<span>\u0424\u0430\u0437\u0437\u0438\u043d\u0433 JS-\u0434\u0432\u0438\u0436\u043a\u043e\u0432 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Fuzzilli<\/span>"},"content":{"rendered":"<div><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-1\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/webt\/jw\/wm\/9i\/jwwm9iiwuhuwvorbyptlxumgwpi.png\" data-src=\"https:\/\/habrastorage.org\/webt\/jw\/wm\/9i\/jwwm9iiwuhuwvorbyptlxumgwpi.png\"\/><\/div>\n<p>  <\/p>\n<p><a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli\"><code>fuzzilli<\/code><\/a> \u2013 \u044d\u0442\u043e \u0444\u0430\u0437\u0437\u0435\u0440 \u0434\u043b\u044f javascript-\u0434\u0432\u0438\u0436\u043a\u043e\u0432 \u043e\u0442 \u043a\u043e\u043c\u0430\u043d\u0434\u044b <code>googleprojectzero<\/code>. \u0415\u0433\u043e \u043e\u0442\u043b\u0438\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u0430\u044f \u0447\u0435\u0440\u0442\u0430 \u2013 \u044d\u0442\u043e <code>FuzzIL<\/code>, \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u0447\u043d\u044b\u0439 \u044f\u0437\u044b\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u043e\u0436\u043d\u043e \u043c\u0443\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438 \u0437\u0430\u0442\u0435\u043c \u0442\u0440\u0430\u043d\u0441\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0432 <code>js<\/code>. \u042d\u0442\u043e\u0442 \u044f\u0437\u044b\u043a \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442 \u043c\u0443\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c\u0443 <code>js<\/code> \u0441\u0435\u043c\u0430\u043d\u0442\u0438\u0447\u0435\u0441\u043a\u0443\u044e \u0432\u0430\u043b\u0438\u0434\u043d\u043e\u0441\u0442\u044c: \u0434\u0430\u0436\u0435 \u043f\u043e\u0441\u043b\u0435 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0440\u0430\u0443\u043d\u0434\u043e\u0432 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439 \u0432 \u043a\u043e\u0434\u0435 \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f \u043b\u043e\u0433\u0438\u043a\u0430, \u0441 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0434\u0432\u0438\u0436\u043e\u043a \u0431\u0443\u0434\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c.<\/p>\n<p>  <\/p>\n<h1 id=\"dvizhki-kotorye-mozhno-fazzit\">\u0414\u0432\u0438\u0436\u043a\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0436\u043d\u043e \u0444\u0430\u0437\u0437\u0438\u0442\u044c<\/h1>\n<p>  <\/p>\n<ul>\n<li><a href=\"https:\/\/github.com\/WebKit\/webkit\">JavaScriptCore(webkit)<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/jerryscript-project\/jerryscript\">Jerryscript<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/bellard\/quickjs\">QJS<\/a><\/li>\n<li><a href=\"http:\/\/git:\/\/code.qt.io\/qt\/qt5.git\">QTJS<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/mozilla\/gecko-dev\">Spidermonkey(gecko)<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/v8\/v8\">V8<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/Moddable-OpenSource\/moddable\">XS<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/svaarala\/duktape\">duktape<\/a><\/li>\n<\/ul>\n<p>  <\/p>\n<p>\u0412 \u044d\u0442\u043e\u043c \u0441\u043f\u0438\u0441\u043a\u0435 <code>V8<\/code>, <code>Spidermonkey<\/code>, <code>XS<\/code> \u0438 <code>duktape<\/code> \u0443\u0436\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0442 \u0440\u0430\u0431\u043e\u0442\u0443 \u0441 <code>fuzzilli<\/code>. \u0410 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 \u0434\u0432\u0438\u0436\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u043f\u0430\u0442\u0447\u0438\u0442\u044c \u0438 \u043d\u0430\u0447\u0430\u0442\u044c \u0444\u0430\u0437\u0437\u0438\u043d\u0433, \u043f\u0430\u0442\u0447\u0438 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u044b \u0432 \u0441\u043e\u0441\u0442\u0430\u0432 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430.<\/p>\n<p>  <\/p>\n<p>\u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e <code>fuzzilli<\/code> \u0443\u0436\u0435 \u043d\u0430\u0439\u0434\u0435\u043d\u043e \u043c\u043d\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0445 <a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli#bug-showcase\">\u0431\u0430\u0433\u043e\u0432<\/a> \u0442\u0438\u043f\u0430 <code>OOB<\/code>. \u0420\u0430\u0437\u0431\u0435\u0440\u0435\u043c\u0441\u044f, \u043a\u0430\u043a \u043e\u043d \u0443\u0441\u0442\u0440\u043e\u0435\u043d.<\/p>\n<p><a name=\"habracut\"><\/a>  <\/p>\n<h2 id=\"soderzhanie\">\u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435<\/h2>\n<p>  <\/p>\n<p><a href=\"#FuzzIL\">1. FuzzIL<\/a><br \/>  <a href=\"#Impl\">2. \u0420\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f<\/a><br \/>  <a href=\"#Mutators\">3. \u041c\u0443\u0442\u0430\u0442\u043e\u0440\u044b<\/a><br \/>  <a href=\"#InputMutator\">3.1. Input mutator<\/a><br \/>  <a href=\"#OperationMutator\">3.2. Operation Mutator<\/a><br \/>  <a href=\"#CombineMutator\">3.3. Combine Mutator<\/a><br \/>  <a href=\"#SpliceMutator\">3.4. Splice Mutator<\/a><br \/>  <a href=\"#Instr\">4. \u0418\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u044f<\/a><br \/>  <a href=\"#REPRL\">5. \u0418\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u0441\u043a\u0440\u0438\u043f\u0442\u0430<\/a><br \/>  <a href=\"#CVE\">6. CVE-2019-8518<\/a><br \/>  <a href=\"#Summary\">7. \u0412\u044b\u0432\u043e\u0434<\/a><\/p>\n<p>  <\/p>\n<h1 id=\"anchorfuzzilanchorfuzzil\"><a name=\"FuzzIL\"><\/a>FuzzIL<\/h1>\n<p>  <\/p>\n<p>FuzzIL \u2013 \u044d\u0442\u043e \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u0447\u043d\u043e\u0435 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435 js, \u0438 \u0441\u0430\u043c\u043e\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0435 \u0432 \u043d\u0435\u043c \u2013 \u044d\u0442\u043e \u043c\u0443\u0442\u0430\u0442\u043e\u0440\u044b \u0434\u043b\u044f FuzzIL. \u041a\u0430\u043a \u043e\u043d\u0438 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u044e\u0442 \u0432\u0430\u043b\u0438\u0434\u043d\u044b\u0439 js-\u043a\u043e\u0434?<\/p>\n<p>  <\/p>\n<p>\u041c\u0443\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c js-\u043a\u043e\u0434 \u043c\u043e\u0436\u043d\u043e \u043d\u0430 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u0443\u0440\u043e\u0432\u043d\u044f\u0445:<\/p>\n<p>  <\/p>\n<ul>\n<li>\u0442\u0435\u043a\u0441\u0442 \u0441\u043a\u0440\u0438\u043f\u0442\u0430 (\u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u0441\u043b\u0443\u0447\u0430\u0439\u043d\u044b\u0445 \u0431\u0430\u0439\u0442)<\/li>\n<li>\u0441\u0438\u043d\u0442\u0430\u043a\u0441\u0438\u0447\u0435\u0441\u043a\u043e\u0435 \u0434\u0435\u0440\u0435\u0432\u043e AST (\u0432\u044b\u0440\u0435\u0437\u0430\u0442\u044c\/\u0432\u0441\u0442\u0430\u0432\u043b\u044f\u0442\u044c \u0441\u043b\u0443\u0447\u0430\u0439\u043d\u043e\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0435\u0432\u043e)<\/li>\n<\/ul>\n<p>  <\/p>\n<p>\u041f\u0435\u0440\u0432\u044b\u0439 \u0441\u043f\u043e\u0441\u043e\u0431 \u043d\u0435 \u0441\u0438\u043b\u044c\u043d\u043e \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442\u0441\u044f:<\/p>\n<p>  <\/p>\n<pre><code class=\"plaintext\">$ .\/js_shell &lt; \/dev\/urandom<\/code><\/pre>\n<p>  <\/p>\n<p>\u0414\u0432\u0438\u0436\u043e\u043a \u043f\u0440\u043e\u0441\u0442\u043e \u043e\u0442\u0431\u0440\u043e\u0441\u0438\u0442 \u0432\u0441\u0435 \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u0435\u043c\u044b\u0435 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u044b.<\/p>\n<p>  <\/p>\n<p>\u0421\u043f\u043e\u0441\u043e\u0431 \u0441 \u0434\u0435\u0440\u0435\u0432\u044c\u044f\u043c\u0438 \u043b\u0443\u0447\u0448\u0435: \u043c\u0443\u0442\u0430\u0442\u043e\u0440 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442 \u0441\u0438\u043d\u0442\u0430\u043a\u0441\u0438\u0447\u0435\u0441\u043a\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u044b\u0439 js-\u043a\u043e\u0434. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0432\u043e\u0442 \u0442\u0430\u043a\u043e\u0439:<\/p>\n<p>  <\/p>\n<pre><code class=\"javascript\">    if(y > 0){         ...         \/* type confusion *\/         ...     }      let y = 0;<\/code><\/pre>\n<p>  <\/p>\n<p>\u041d\u043e, \u043d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u044d\u0442\u043e, \u0432 \u043b\u043e\u0433\u0438\u043a\u0435 \u043e\u0448\u0438\u0431\u043a\u0430 \u0432\u0441\u0435-\u0442\u0430\u043a\u0438 \u0435\u0441\u0442\u044c: \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f <code>y<\/code> \u0437\u0434\u0435\u0441\u044c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043e \u0441\u0432\u043e\u0435\u0433\u043e \u043e\u0431\u044a\u044f\u0432\u043b\u0435\u043d\u0438\u044f. \u042d\u0442\u043e \u0432\u044b\u0437\u043e\u0432\u0435\u0442 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435, \u0430 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0439 \u0431\u0430\u0433 <code>type confusion<\/code> \u043e\u0441\u0442\u0430\u043d\u0435\u0442\u0441\u044f \u043d\u0435\u043e\u0442\u043b\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u043c.<\/p>\n<p>  <\/p>\n<p>FuzzIL \u0441\u043e\u0437\u0434\u0430\u043d \u0434\u043b\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u0442\u0440\u0435\u0442\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c: \u043c\u0443\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u0447\u043d\u043e\u0433\u043e \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u044f. \u041e\u043d\u043e \u0434\u043e\u043b\u0436\u043d\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0442\u044c \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u0438\u043d\u0442\u0430\u043a\u0441\u0438\u0447\u0435\u0441\u043a\u0443\u044e \u0432\u0430\u043b\u0438\u0434\u043d\u043e\u0441\u0442\u044c, \u043d\u043e \u0438 \u0441\u0435\u043c\u0430\u043d\u0442\u0438\u0447\u0435\u0441\u043a\u0443\u044e. \u041c\u0443\u0442\u0430\u0442\u043e\u0440\u044b FuzzIL \u043d\u0435 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u044e\u0442 \u043e\u0434\u0438\u043d \u0442\u043e\u043b\u044c\u043a\u043e \u0432\u0430\u043b\u0438\u0434\u043d\u044b\u0439 \u043a\u043e\u0434, \u043d\u043e \u043e\u0447\u0435\u0432\u0438\u0434\u043d\u044b\u0445 \u043e\u0448\u0438\u0431\u043e\u043a \u043d\u0435 \u0434\u043e\u043f\u0443\u0441\u043a\u0430\u044e\u0442.<\/p>\n<p>  <\/p>\n<p>\u041f\u0440\u0438\u043c\u0435\u0440 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u043d\u0430 FuzzIL:<\/p>\n<p>  <\/p>\n<pre><code class=\"swift\">1  v0 &lt;\u2212 LoadInt \u2019 0\u2019 2  v1 &lt;\u2212 LoadInt \u201910\u2019 3  v2 &lt;\u2212 LoadInt \u2019 1\u2019 4  v3 &lt;\u2212 Phi v0 5  BeginFor v0, \u2019&lt;\u2019, v1, \u2019+\u2019, v2 \u2212> v4 6  v6 &lt;\u2212 BinaryOperation v3, \u2019+\u2019, v4 7  Copy v3, v6 8  EndFor 9  v7 &lt;\u2212 LoadString \u2019Result :\u2019 10 v8 &lt;\u2212 BinaryOperation v7, \u2019+\u2019, v3 11 v9 &lt;\u2212 LoadGlobal \u2019console\u2019 12 v10 &lt;\u2212 CallMethod v9, \u2019log\u2019, [v8]<\/code><\/pre>\n<p>  <\/p>\n<p>\u0423 FuzzIL \u043d\u0435\u0442 \u0441\u0438\u043d\u0442\u0430\u043a\u0441\u0438\u0441\u0430, \u043d\u043e \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0442\u044c \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443 \u043a\u0430\u043a-\u0442\u043e \u043d\u0430\u0434\u043e, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u044d\u0442\u043e\u0442 \u043f\u0440\u0438\u043c\u0435\u0440 \u043d\u0430\u043f\u0438\u0441\u0430\u043d \u043d\u0430 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043f\u0441\u0435\u0432\u0434\u043e\u043a\u043e\u0434\u0435.<\/p>\n<p>  <\/p>\n<p>\u0422\u0440\u0430\u043d\u0441\u043b\u044f\u0442\u043e\u0440 \u0443 <code>FuzzIL<\/code> \u0435\u0441\u0442\u044c, \u0438 \u044d\u0442\u043e\u0442 \u0436\u0435 \u043f\u0440\u0438\u043c\u0435\u0440 \u043d\u0430 <code>js<\/code> \u0431\u0443\u0434\u0435\u0442 \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u0442\u044c \u0442\u0430\u043a:<\/p>\n<p>  <\/p>\n<pre><code class=\"javascript\">1  const v0 =  0; 2  const v1 = 10; 3  const v2 =  1; 4  let v3 = v0; 5  for (let v4 = v0; v4 &lt; v1; v4 = v4 + v2) { 6    const v6 = v3 + v4; 7    v3 = v6; 8  } 9  const v7 = \u201dResult: \u201d; 10 const v8 = v7 + v3; 11 const v9 = console; 12 const v10 = v9.log(v8);<\/code><\/pre>\n<p>  <\/p>\n<p>\u0418\u043b\u0438:<\/p>\n<p>  <\/p>\n<pre><code class=\"javascript\">1 let v3 = 0; 2 for (let v4 = 0; v4 &lt; 10; v4++) { 3 v3 = v3 + v4; 4 } 5 console.log(\u201dResult: \u201d + v3);<\/code><\/pre>\n<p>  <\/p>\n<p><code>fuzzilli<\/code> \u0443\u043c\u0435\u0435\u0442 \u0442\u0440\u0430\u043d\u0441\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438 \u0442\u0430\u043a \u0438 \u0442\u0430\u043a. <\/p>\n<p>  <\/p>\n<p>\u0427\u0442\u043e\u0431\u044b \u043e\u043f\u0438\u0441\u0430\u0442\u044c \u043c\u0443\u0442\u0430\u0442\u043e\u0440\u044b, \u043d\u0443\u0436\u043d\u043e \u043d\u0435\u043c\u043d\u043e\u0433\u043e \u043f\u043e\u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u043e \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 FuzzIL.<\/p>\n<p>  <\/p>\n<h2 id=\"anchorimplanchorrealizaciya\"><a name=\"Impl\"><\/a>\u0420\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f<\/h2>\n<p>  <\/p>\n<p><code>fuzzilli<\/code> \u0438 <code>FuzzIL<\/code> \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u044b \u043d\u0430 \u044f\u0437\u044b\u043a\u0435 <code>Swift<\/code>.<\/p>\n<p>  <\/p>\n<p>\u041f\u0440\u043e\u0438\u043b\u043b\u044e\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043a\u043b\u0430\u0441\u0441\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u044e\u0442 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443 \u043d\u0430 <code>FuzzIL<\/code>, \u043f\u043e\u043c\u043e\u0436\u0435\u0442 \u0434\u0438\u0430\u0433\u0440\u0430\u043c\u043c\u0430:<\/p>\n<p>  <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/webt\/5s\/_i\/tk\/5s_itkmgran6uowndc9ekbe1tqa.jpeg\" data-src=\"https:\/\/habrastorage.org\/webt\/5s\/_i\/tk\/5s_itkmgran6uowndc9ekbe1tqa.jpeg\" data-blurred=\"true\"\/><\/div>\n<p>  <\/p>\n<p>\u0422\u0438\u043f\u043e\u043c \u0434\u0430\u043d\u043d\u044b\u0445, \u043e\u0442\u0432\u0435\u0447\u0430\u044e\u0449\u0438\u043c \u0437\u0430 \u0438\u0442\u043e\u0433\u043e\u0432\u044b\u0439 js -\u0441\u043a\u0440\u0438\u043f\u0442, \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f <a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli\/blob\/713089e34b62a49f11f11c925297e10dcc5db96c\/Sources\/Fuzzilli\/FuzzIL\/Program.swift#L26\"><code>class Program<\/code><\/a>.<\/p>\n<p>  <\/p>\n<p>\u041f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u2013 \u044d\u0442\u043e \u043d\u0430\u0431\u043e\u0440 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0439 \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u0438\u0445 \u0432\u0445\u043e\u0434\u043d\u044b\u043c\u0438 \u0438 \u0432\u044b\u0445\u043e\u0434\u043d\u044b\u043c\u0438 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u043c\u0438.<\/p>\n<p>  <\/p>\n<p>\u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044f <a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli\/blob\/3fef2fbcbb8a3139d790fa4d40daa4f8d64a7a7e\/Sources\/Fuzzilli\/FuzzIL\/Operations.swift#L106\"><code>LoadInteger<\/code><\/a>:<\/p>\n<p>  <\/p>\n<pre><code class=\"swift\">class LoadInteger: Operation {     let value: Int64      init(value: Int64) {         self.value = value         super.init(numInputs: 0, numOutputs: 1, attributes: [.isPure, .isMutable])     } } \/* v0 &lt;\u2212 LoadInt \u2019 0\u2019 *\/<\/code><\/pre>\n<p>  <\/p>\n<p><code>LoadProperty<\/code>:<\/p>\n<p>  <\/p>\n<pre><code class=\"swift\">class LoadProperty: Operation {     let propertyName: String      init(propertyName: String) {         self.propertyName = propertyName         super.init(numInputs: 1, numOutputs: 1, attributes: [.isMutable])     } }  \/* v1 &lt;- LoadProperty v0, '__proto__' *\/<\/code><\/pre>\n<p>  <\/p>\n<p>\u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u0432\u0441\u0435 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0438 \u043c\u043e\u0436\u043d\u043e \u0432 <a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli\/blob\/3fef2fbcbb8a3139d790fa4d40daa4f8d64a7a7e\/Sources\/Fuzzilli\/FuzzIL\/Operations.swift\">Operations.swift<\/a><\/p>\n<p>  <\/p>\n<p>\u0417\u0430 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u043e\u0442\u0432\u0435\u0447\u0430\u044e\u0442 <a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli\/blob\/3fef2fbcbb8a3139d790fa4d40daa4f8d64a7a7e\/Sources\/Fuzzilli\/Core\/ProgramBuilder.swift\">ProgramBuilder<\/a> \u0438 <a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli\/blob\/3fef2fbcbb8a3139d790fa4d40daa4f8d64a7a7e\/Sources\/Fuzzilli\/Core\/CodeGenerators.swift\">CodeGenerators<\/a>. \u041a\u0430\u0436\u0434\u044b\u0439 \u0433\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442 \u0441\u0432\u043e\u0439 \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0444\u0440\u0430\u0433\u043c\u0435\u043d\u0442 <code>FuzzIL<\/code> \u043a\u043e\u0434\u0430. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <code>IntegerGenerator<\/code> \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044e <code>LoadInteger<\/code> \u0441\u043e \u0441\u043b\u0443\u0447\u0430\u0439\u043d\u044b\u043c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u043c, \u0430 <code>IfElseGenerator<\/code> \u2013 \u0443\u0441\u043b\u043e\u0432\u043d\u044b\u0439 \u0431\u043b\u043e\u043a:<\/p>\n<p>  <\/p>\n<pre><code class=\"swift\">CodeGenerator(\"IntegerGenerator\") { b in         b.loadInt(b.genInt()) }  \/*...*\/  CodeGenerator(\"IfElseGenerator\", input: .boolean) { b, cond in     b.buildIfElse(cond, ifBody: {         b.generateRecursive()     }, elseBody: {         b.generateRecursive()     }) } <\/code><\/pre>\n<p>  <\/p>\n<p>\u0422\u0430\u043a\u0438\u0445 \u0433\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440\u043e\u0432 \u0434\u0435\u0441\u044f\u0442\u043a\u0438. \u041d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u0437 \u043d\u0438\u0445 \u0432\u044b\u0437\u044b\u0432\u0430\u044e\u0442 \u0434\u0440\u0443\u0433\u0438\u0435 \u0433\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440\u044b, \u043a\u0430\u043a <code>IfElseGenerator<\/code>, \u0447\u0442\u043e\u0431\u044b \u043a\u043e\u0434 \u0432\u043d\u0443\u0442\u0440\u0438 \u0431\u043b\u043e\u043a\u0430 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0441\u044f \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u0435\u0435.<\/p>\n<p>  <\/p>\n<p>\u041a\u043e\u0433\u0434\u0430 \u043d\u043e\u0432\u0430\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u0441\u043e\u0437\u0434\u0430\u043d\u0430, \u043e\u043d\u0430 \u043f\u043e\u0434\u0432\u0435\u0440\u0433\u0430\u0435\u0442\u0441\u044f <a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli\/blob\/3fef2fbcbb8a3139d790fa4d40daa4f8d64a7a7e\/Sources\/Fuzzilli\/FuzzIL\/Analyzer.swift\">\u0430\u043d\u0430\u043b\u0438\u0437\u0443<\/a> \u0447\u0435\u0440\u0435\u0437:<\/p>\n<p>  <\/p>\n<ul>\n<li><code>VariableAnalyzer<\/code> <\/li>\n<li><code>ScopeAnalyzer<\/code><\/li>\n<li><code>ContextAnalyzer<\/code><\/li>\n<li><code>DeadCodeAnalyzer<\/code><\/li>\n<\/ul>\n<p>  <\/p>\n<p>\u041f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0442\u0441\u044f \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435, \u0438\u0445 \u0442\u0438\u043f\u044b \u0438 \u043e\u0431\u043b\u0430\u0441\u0442\u0438 \u0432\u0438\u0434\u0438\u043c\u043e\u0441\u0442\u0438. \u0423\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f, \u0447\u0442\u043e \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u0432\u043d\u0443\u0442\u0440\u0438 \u043a\u043e\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0439 <code>for, while<\/code> \u043d\u0435 \u0434\u043e\u043b\u0436\u043d\u044b \u0431\u044b\u0442\u044c \u0432\u0438\u0434\u043d\u044b \u0441\u043d\u0430\u0440\u0443\u0436\u0438. \u0410 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435, \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0435 \u0441\u043d\u0430\u0440\u0443\u0436\u0438, \u0434\u043e\u043b\u0436\u043d\u044b \u0431\u044b\u0442\u044c \u0432\u0438\u0434\u043d\u044b \u0432\u043d\u0443\u0442\u0440\u0438, \u0435\u0441\u043b\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f:<\/p>\n<p>  <\/p>\n<pre><code class=\"javascript\">let v2 = 10; for(let v4 = v2; v4 &lt; 100; v4++){...}<\/code><\/pre>\n<p>  <\/p>\n<p>\u041f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0442\u0441\u044f \u0431\u043b\u043e\u043a\u0438: \u0435\u0441\u043b\u0438 \u0435\u0441\u0442\u044c \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044f <code>BeginWhileLoop<\/code>, \u0442\u043e \u0434\u043e\u043b\u0436\u0435\u043d \u0431\u044b\u0442\u044c \u0438 <code>EndWhileLoop<\/code>. \u0418 \u043d\u0430\u043e\u0431\u043e\u0440\u043e\u0442: \u0435\u0441\u043b\u0438 \u0435\u0441\u0442\u044c \u043a\u043e\u043d\u0435\u0446 \u0431\u043b\u043e\u043a\u0430 <code>EndWhileLoop<\/code>, \u0442\u043e \u0434\u043e\u043b\u0436\u043d\u043e \u0431\u044b\u0442\u044c \u0438 \u043d\u0430\u0447\u0430\u043b\u043e <code>BeginWhileLoop<\/code>.<\/p>\n<p>  <\/p>\n<p>\u0422\u0438\u043f\u044b: <code>Unknown, Integer, Float, String, Boolean, Object, Function<\/code>. \u041f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u0442\u0438\u043f\u043e\u0432 \u043d\u0435 \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u0442, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0442\u0430\u043a\u043e\u0439 \u043a\u043e\u0434:<\/p>\n<p>  <\/p>\n<pre><code class=\"javascript\">let v0 = 1; v0.slice(1); \/\/ Exception: TypeError: v0.slice is not a function<\/code><\/pre>\n<p>  <\/p>\n<p>\u041d\u0435 \u0434\u043e\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f <code>dead<\/code> \u043a\u043e\u0434, \u0447\u0442\u043e\u0431\u044b \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0442\u0438\u0442\u044c \u0431\u0435\u0441\u0441\u043c\u044b\u0441\u043b\u0435\u043d\u043d\u043e\u0435 \u0440\u0430\u0437\u0440\u0430\u0441\u0442\u0430\u043d\u0438\u0435 \u0442\u0435\u0441\u0442-\u043a\u0435\u0439\u0441\u043e\u0432.<\/p>\n<p>  <\/p>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0432\u0441\u0435\u0445 \u043f\u0440\u043e\u0432\u0435\u0440\u043e\u043a \u043a\u043e\u0434 \u0442\u0440\u0430\u043d\u0441\u043b\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0432 \u0442\u0435\u043a\u0441\u0442. \u0417\u0430 \u0442\u0440\u0430\u043d\u0441\u043b\u044f\u0446\u0438\u044e \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 <a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli\/blob\/main\/Sources\/Fuzzilli\/Lifting\/JavaScriptLifter.swift\">class JavaScriptLifter<\/a>. \u0412 \u044d\u0442\u043e\u0442 \u043a\u043b\u0430\u0441\u0441 \u0437\u0430\u043b\u043e\u0436\u0435\u043d\u044b \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0442\u043e\u0433\u043e, \u043a\u0430\u043a \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0442\u044c \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0438 \u0432 \u0442\u0435\u043a\u0441\u0442\u043e\u0432\u043e\u043c \u0432\u0438\u0434\u0435.<\/p>\n<p>  <\/p>\n<pre><code class=\"swift\">switch instr.op {     case let op as LoadInteger:         \/*...*\/     case let op as LoadBigInt:         \/*...*\/     case let op as LoadProperty:         \/*...*\/     case let op as BeginForLoop:         \/*...*\/     \/*...*\/ }<\/code><\/pre>\n<p>  <\/p>\n<h1 id=\"anchormutatorsanchormutatory\"><a name=\"Mutators\"><\/a>\u041c\u0443\u0442\u0430\u0442\u043e\u0440\u044b<\/h1>\n<p>  <\/p>\n<ul>\n<li>input mutator<\/li>\n<li>operation mutator<\/li>\n<li>combine mutator<\/li>\n<li>splice mutator<\/li>\n<\/ul>\n<p>  <\/p>\n<h3 id=\"anchorinputmutatoranchorinput-mutator\"><a name=\"InputMutator\"><\/a>Input mutator<\/h3>\n<p>  <\/p>\n<p><a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli\/blob\/main\/Sources\/Fuzzilli\/Mutators\/InputMutator.swift\">\u041c\u0443\u0442\u0438\u0440\u0443\u0435\u0442<\/a> \u0432\u0445\u043e\u0434\u043d\u044b\u0435 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u044b-\u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435.<\/p>\n<p>  <\/p>\n<pre><code class=\"swift\">1 \/\/ Before Mutation 2 . . . 3 v16 &lt;\u2212 CallFunction v1, v6, v9, v3 4 5 \/\/ After Mutation 6 . . . 7 v16 &lt;\u2212 CallFunction v1, v12, v9, v3<\/code><\/pre>\n<p>  <\/p>\n<p>\u0423\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043e\u0431\u043b\u0430\u0441\u0442\u044c \u0432\u0438\u0434\u0438\u043c\u043e\u0441\u0442\u0438; \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f <code>v12<\/code> \u0438\u0437 \u0442\u043e\u0433\u043e \u0436\u0435 \u0441\u043a\u043e\u0443\u043f\u0430, \u0447\u0442\u043e \u0438 \u0432\u0441\u0435 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435.<br \/>  \u0415\u0441\u043b\u0438 \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0430\u043c\u0435\u043d\u0443, \u0442\u043e \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442 \u0432\u0435\u0440\u043d\u0435\u0442\u0441\u044f \u043d\u0430 \u0441\u0432\u043e\u0435 \u043c\u0435\u0441\u0442\u043e.<\/p>\n<p>  <\/p>\n<h3 id=\"anchoroperationmutatoranchoroperation-mutator\"><a name=\"OperationMutator\"><\/a>Operation Mutator<\/h3>\n<p>  <\/p>\n<p>\u041c\u0443\u0442\u0438\u0440\u0443\u0435\u0442 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0439, \u0435\u0441\u043b\u0438 \u043e\u043d \u0443 \u043d\u0438\u0445 \u0435\u0441\u0442\u044c.<\/p>\n<p>  <\/p>\n<p>\u0423 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0439 \u043f\u043e\u043c\u0438\u043c\u043e \u0432\u0445\u043e\u0434\u043d\u044b\u0445 \u0438 \u0432\u044b\u0445\u043e\u0434\u043d\u044b\u0445 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0445 \u0435\u0441\u0442\u044c \u0435\u0449\u0435 \u0438 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0443 <code>LoadInteger<\/code> \u044d\u0442\u043e <code>value<\/code>, \u0443 <code>LoadProperty<\/code> \u2013 <code>propertyName<\/code>, \u0430 \u0443 <code>CallMethod<\/code> \u2013 <code>methodName<\/code>.<\/p>\n<p>  <\/p>\n<h3 id=\"anchorcombinemutatoranchorcombine-mutator\"><a name=\"CombineMutator\"><\/a>Combine Mutator<\/h3>\n<p>  <\/p>\n<pre><code class=\"swift\">1 \/\/ Program 1 2 v0 &lt;\u2212 LoadString \u2019bar\u2019 3 v1 &lt;\u2212 CreateObject \u2019foo\u2019, v0 4 5 \/\/ Program 2 6 v0 &lt;\u2212 LoadInt \u2019 1337 \u2019 7 v1 &lt;\u2212 LoadGlobal \u2019console\u2019 8 v2 &lt;\u2212 CallMethod v1, \u2019log\u2019, [v0] 9 10 \/\/ Combined program 11 v0 &lt;\u2212 LoadInt \u2019 1337 \u2019 12 v1 &lt;\u2212 LoadString \u2019bar\u2019 13 v2 &lt;\u2212 CreateObject \u2019foo\u2019, v1 14 v3 &lt;\u2212 LoadGlobal \u2019console \u2019 15 v4 &lt;\u2212 CallMethod v3, \u2019log\u2019, [v0]<\/code><\/pre>\n<p>  <\/p>\n<h3 id=\"anchorsplicemutatoranchorsplice-mutator\"><a name=\"SpliceMutator\"><\/a>Splice Mutator<\/h3>\n<p>  <\/p>\n<p>\u0412\u0441\u0442\u0430\u0432\u043a\u0430 \u043a\u0443\u0441\u043a\u0430 \u043a\u043e\u0434\u0430 \u0438\u0437 \u043e\u0434\u043d\u043e\u0433\u043e \u0442\u0435\u0441\u0442-\u043a\u0435\u0439\u0441\u0430 \u0432 \u0434\u0440\u0443\u0433\u043e\u0439. \u0423\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f, \u0447\u0442\u043e \u0432\u0441\u0435 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u0432 \u043a\u043e\u0434\u0435 \u0434\u043e\u043b\u0436\u043d\u044b \u0431\u044b\u0442\u044c \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u044b. \u0410\u043b\u0433\u043e\u0440\u0438\u0442\u043c \u0442\u0430\u043a\u043e\u0439:<\/p>\n<p>  <\/p>\n<ul>\n<li>\u0432\u044b\u0431\u0440\u0430\u0442\u044c \u0440\u0430\u043d\u0434\u043e\u043c\u043d\u0443\u044e \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044e<\/li>\n<li>\u043d\u0430\u0439\u0442\u0438 \u0432\u0441\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0438, \u0447\u044c\u0438 \u0432\u044b\u0445\u043e\u0434\u043d\u044b\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u0434\u043b\u044f \u044d\u0442\u043e\u0439 \u0440\u0430\u043d\u0434\u043e\u043c\u043d\u043e\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0438<\/li>\n<li>\u0441\u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c, \u0432\u0441\u0442\u0430\u0432\u0438\u0442\u044c<\/li>\n<\/ul>\n<p>  <\/p>\n<h2 id=\"anchorinstranchorinstrumentaciya\"><a name=\"Instr\"><\/a>\u0418\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u044f<\/h2>\n<p>  <\/p>\n<p>\u041c\u0435\u0436\u0434\u0443 \u0444\u0430\u0437\u0437\u0435\u0440\u043e\u043c \u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u043c \u0434\u0432\u0438\u0436\u043a\u0430 \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f <code>shm<\/code> \u043e\u0431\u043b\u0430\u0441\u0442\u044c \u043f\u0430\u043c\u044f\u0442\u0438, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e \u043f\u043e\u043a\u0440\u044b\u0442\u0438\u0438.<\/p>\n<p>  <\/p>\n<p>\u041f\u043e\u043a\u0440\u044b\u0442\u0438\u0435 \u2013 \u044d\u0442\u043e \u0431\u0438\u0442\u043c\u0430\u043f, \u0444\u0430\u0437\u0437\u0435\u0440\u0443 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0435\u043d \u0442\u043e\u043b\u044c\u043a\u043e \u0444\u0430\u043a\u0442 \u043f\u043e\u0441\u0435\u0449\u0435\u043d\u0438\u044f \u0431\u0430\u0437\u043e\u0432\u043e\u0433\u043e \u0431\u043b\u043e\u043a\u0430, \u0430 \u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0440\u0430\u0437 \u043f\u043e\u0442\u043e\u043a \u043f\u0440\u043e\u0448\u0435\u043b \u0447\u0435\u0440\u0435\u0437 \u044d\u0442\u043e\u0442 \u0431\u043b\u043e\u043a \u0443\u0436\u0435 \u043d\u0435\u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e.<\/p>\n<p>  <\/p>\n<p>\u0412 \u043a\u0430\u0436\u0434\u043e\u043c \u0431\u0430\u0437\u043e\u0432\u043e\u043c \u0431\u043b\u043e\u043a\u0435 \u0440\u0430\u0437\u043c\u0435\u0449\u0430\u0435\u0442\u0441\u044f <a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli\/blob\/main\/Targets\/coverage.c#L70\">\u0432\u044b\u0437\u043e\u0432 sanitizer_cov_trace_pc_guard<\/a>:<\/p>\n<p>  <\/p>\n<pre><code class=\"cpp\">struct shmem_data {     uint32_t num_edges;     unsigned char edges[]; };  struct shmem_data* __shmem;  \/*...*\/  extern \"C\" void __sanitizer_cov_trace_pc_guard(uint32_t *guard) {      uint32_t index = *guard;      if (!index) return;      __shmem->edges[index \/ 8] |= 1 &lt;&lt; (index % 8);     *guard = 0; }<\/code><\/pre>\n<p>  <\/p>\n<p>\u0417\u0434\u0435\u0441\u044c <code>guard<\/code> \u2013 \u0443\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c \u043d\u0430 \u0438\u043d\u0434\u0435\u043a\u0441 \u0431\u043b\u043e\u043a\u0430, <code>__shmem->edges<\/code> \u2013 \u043c\u0430\u0441\u0441\u0438\u0432, \u0441 \u043a\u043e\u0442\u043e\u0440\u044b\u043c \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442, \u043a\u0430\u043a \u0441 \u0431\u0438\u0442\u043c\u0430\u043f\u043e\u043c.<\/p>\n<p>  <\/p>\n<p>\u041a\u0430\u043a \u0443\u0436\u0435 \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043b\u043e\u0441\u044c, \u0447\u0430\u0441\u0442\u044c \u0434\u0432\u0438\u0436\u043a\u043e\u0432 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u044e <code>fuzzilli<\/code>. \u0427\u0442\u043e\u0431\u044b \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <code>v8<\/code>, \u043d\u0443\u0436\u043d\u043e \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u0444\u043b\u0430\u0433 <code>v8_fuzzilli=true<\/code> \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435 \u0441\u0431\u043e\u0440\u043a\u0438 <code>v8<\/code>. \u041a \u0441\u0447\u0430\u0441\u0442\u044c\u044e, \u0441\u0431\u043e\u0440\u043a\u0430 \u0432\u0441\u0435\u0445 \u0434\u0432\u0438\u0436\u043a\u043e\u0432 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u0430 \u0438 \u043f\u043e\u043c\u043d\u0438\u0442\u044c \u043e \u0444\u043b\u0430\u0433\u0430\u0445 \u043d\u0435 \u043d\u0443\u0436\u043d\u043e \u2013 \u0432 <a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli\/tree\/main\/Targets\">\u0441\u043e\u0441\u0442\u0430\u0432\u0435<\/a> \u0435\u0441\u0442\u044c \u0441\u043a\u0440\u0438\u043f\u0442\u044b \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e. \u0410 \u0435\u0441\u043b\u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u044f \u043d\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442\u0441\u044f, \u0442\u043e \u0442\u0430\u043c \u0436\u0435 \u0435\u0441\u0442\u044c \u0438 \u043f\u0430\u0442\u0447\u0438.<\/p>\n<p>  <\/p>\n<h2 id=\"anchorreprlanchorispolnenie-skripta\"><a name=\"REPRL\"><\/a>\u0418\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u0441\u043a\u0440\u0438\u043f\u0442\u0430<\/h2>\n<p>  <\/p>\n<p>\u0414\u043b\u044f \u0443\u0432\u0435\u043b\u0438\u0447\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u0444\u0430\u0437\u0437\u0438\u043d\u0433\u0430 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0441\u043e\u043a\u0440\u0430\u0449\u0430\u0442\u044c \u0437\u0430\u0442\u0440\u0430\u0442\u044b \u043d\u0430 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0438 \u0437\u0430\u043f\u0443\u0441\u043a \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0431\u0443\u0434\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0442\u044c\u0441\u044f \u0438\u0441\u0441\u043b\u0435\u0434\u0443\u0435\u043c\u044b\u0439 \u043a\u043e\u0434. \u0414\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0434\u0432\u0430 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0430:<\/p>\n<p>  <\/p>\n<ul>\n<li>\n<p>\u0444\u043e\u0440\u043a-\u0441\u0435\u0440\u0432\u0435\u0440, \u043a\u0430\u043a \u0432 AFL: \u0440\u0430\u0437\u043c\u0435\u0449\u0430\u0435\u0442\u0441\u044f \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435 \u0442\u0430\u0440\u0433\u0435\u0442\u0430, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u043e\u0447\u0435\u0440\u0435\u0434\u043d\u0443\u044e \u043f\u043e\u0440\u0446\u0438\u044e \u043c\u0443\u0441\u043e\u0440\u0430 \u043e\u0442 \u043c\u0430\u0441\u0442\u0435\u0440\u0430 \u0438 \u0434\u0435\u043b\u0430\u0435\u0442 \u0444\u043e\u0440\u043a, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0438\u0434\u0435\u0442 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430. \u0412 \u044d\u0442\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043f\u0435\u0440\u0435\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0432\u0441\u0435, \u0447\u0442\u043e \u0434\u043e \u0444\u043e\u0440\u043a-\u0441\u0435\u0440\u0432\u0435\u0440\u0430.<\/p>\n<p>  <\/li>\n<li>\n<p>REPRL(read-eval-print-reset-loop), \u043a\u0430\u043a \u0432 libfuzzer: \u0432 \u0431\u0435\u0441\u043a\u043e\u043d\u0435\u0447\u043d\u043e\u043c \u0446\u0438\u043a\u043b\u0435 \u0438\u0441\u0441\u043b\u0435\u0434\u0443\u0435\u043c\u044b\u0439 \u043a\u043e\u0434 \u0436\u0434\u0435\u0442 \u0438 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0435, \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442, \u043f\u043e\u0442\u043e\u043c \u0441\u0431\u0440\u0430\u0441\u044b\u0432\u0430\u0435\u0442 \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u043d\u0430 \u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0435, \u0438 \u043f\u043e-\u043d\u043e\u0432\u043e\u0439. \u0417\u0434\u0435\u0441\u044c \u043f\u0435\u0440\u0435\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0432\u0441\u0435, \u0447\u0442\u043e \u0434\u043e \u0446\u0438\u043a\u043b\u0430.<\/p>\n<p>  <\/li>\n<\/ul>\n<p>  <\/p>\n<p>\u041f\u0440\u0435\u0438\u043c\u0443\u0449\u0435\u0441\u0442\u0432\u043e \u0444\u043e\u0440\u043a-\u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0435\u0433\u043e \u043c\u043e\u0436\u043d\u043e \u0440\u0430\u0437\u043c\u0435\u0441\u0442\u0438\u0442\u044c \u0433\u0434\u0435 \u0443\u0433\u043e\u0434\u043d\u043e (<a href=\"https:\/\/github.com\/AFLplusplus\/AFLplusplus\/blob\/stable\/instrumentation\/README.persistent_mode.md\">\u043f\u0440\u0438\u043c\u0435\u0440 \u0438\u0437 AFL<\/a>). REPRL-\u0446\u0438\u043a\u043b \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e \u043d\u0430 \u043e\u0434\u043d\u043e\u043c \u043c\u0435\u0441\u0442\u0435: (<a href=\"https:\/\/github.com\/v8\/v8\/blob\/main\/src\/d8\/d8.cc#L5656\">\u043f\u0440\u0438\u043c\u0435\u0440 V8<\/a>).<\/p>\n<p>  <\/p>\n<p>\u041d\u043e \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u0432\u0440\u043e\u0434\u0435 \u0431\u044b \u0437\u0430 REPRL.<\/p>\n<p>  <\/p>\n<p>\u0410\u0432\u0442\u043e\u0440\u044b <code>fuzzilli<\/code> \u043f\u0440\u043e\u0432\u0435\u043b\u0438 \u0438\u0437\u043c\u0435\u0440\u0435\u043d\u0438\u044f \u0434\u043b\u044f \u0434\u0432\u0438\u0436\u043a\u0430 <code>JavaScriptCore<\/code> \u0438 \u043e\u043a\u0430\u0437\u0430\u043b\u043e\u0441\u044c, \u0447\u0442\u043e REPRL \u043e\u043f\u0435\u0440\u0435\u0436\u0430\u0435\u0442 \u0444\u043e\u0440\u043a-\u0441\u0435\u0440\u0432\u0435\u0440 \u043d\u0430 6 \u043c\u0441 \u0437\u0430 \u043e\u0434\u043d\u0443 \u0438\u0442\u0435\u0440\u0430\u0446\u0438\u044e. \u0422\u0435\u0441\u0442\u043e\u043c \u0431\u044b\u043b \u0441\u043a\u0440\u0438\u043f\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u043e\u0441\u0442\u043e \u0436\u0434\u0435\u0442 1 \u0441\u0435\u043a\u0443\u043d\u0434\u0443: \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 REPRL \u2013 1,001 c, \u0430 \u0444\u043e\u0440\u043a-\u0441\u0435\u0440\u0432\u0435\u0440 \u2013 1,007 c. \u0422\u0435\u0441\u0442 \u043a\u0430\u0436\u0435\u0442\u0441\u044f \u043f\u0440\u043e\u0441\u0442\u044b\u043c, \u043d\u043e \u0442\u0435\u043c \u043d\u0435 \u043c\u0435\u043d\u0435\u0435 \u0431\u044b\u043b \u0432\u044b\u0431\u0440\u0430\u043d REPRL.<\/p>\n<p>  <\/p>\n<p>\u041a\u0430\u043a \u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u044f, \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f REPRL \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u0432 \u0441\u043e\u0441\u0442\u0430\u0432 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0433\u043e \u0434\u0432\u0438\u0436\u043a\u0430, \u0435\u0441\u043b\u0438 \u043e\u043d \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0443 \u0441 <code>fuzzilli<\/code>.<\/p>\n<p>  <\/p>\n<h1 id=\"anchorcveanchorcve-2019-8518\"><a name=\"CVE\"><\/a>CVE-2019-8518<\/h1>\n<p>  <\/p>\n<p>\u042d\u0442\u043e <code>OOB<\/code>&#8212;<a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1775\">\u0431\u0430\u0433<\/a>, \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u044b\u0439 \u0432 <code>JavaScriptCore\/webkit<\/code>:<\/p>\n<p>  <\/p>\n<pre><code class=\"javascript\">const v3 = [1337,1337,1337,1337]; const v6 = [1337,1337];  function v7(v8) {     for (let v9 in v8) {         v8.a = 42;         const v10 = v8[-698666199];     } }  while (true) {     const v14 = v7(v6);     const v15 = v7(1337); }<\/code><\/pre>\n<p>  <\/p>\n<p>IR-\u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <code>v7<\/code> \u0431\u0443\u0434\u0435\u0442 \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u0442\u044c \u043f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u0442\u0430\u043a (\u0432\u0437\u044f\u0442\u043e \u0438\u0437 \u043e\u0442\u0447\u0435\u0442\u0430):<\/p>\n<p>  <\/p>\n<pre><code class=\"swift\">\/\/ Loop header len = LoadArrayLength v8 \/\/ Do other loop header stuff  \/\/ Loop body CheckStructure v8, expected_structure_id StoreProperty v8, 'a', 42 CheckBounds -698666199, len             \/\/ Bails out if index is OOB (always in this case...) GetByVal v8, -698666199                 \/\/ Loads the element from the backing storage without performing additional checks  \/\/ Jump back to beginning of loop<\/code><\/pre>\n<p>  <\/p>\n<p>\u0410 \u0432\u043e\u0442 \u043a\u0430\u043a <code>JIT<\/code>-\u043a\u043e\u043c\u043f\u0438\u043b\u044f\u0442\u043e\u0440 \u043e\u043f\u0442\u0438\u043c\u0438\u0437\u0438\u0440\u0443\u0435\u0442 \u043a\u043e\u0434:<\/p>\n<p>  <\/p>\n<ul>\n<li>\u043d\u043e\u0434\u0430 <code>CheckStructure<\/code> \u0438\u0437\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u0442\u0438\u043f \u043c\u0430\u0441\u0441\u0438\u0432\u0430 \u0432 \u0442\u0435\u043b\u0435 \u0446\u0438\u043a\u043b\u0430, \u043e\u0434\u043d\u0430\u043a\u043e \u0435\u0435 \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u043d\u0435\u0441\u0442\u0438, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0442\u0438\u043f \u043c\u0430\u0441\u0441\u0438\u0432\u0430 \u043e\u0434\u0438\u043d \u0438 \u0442\u043e\u0442 \u0436\u0435;<\/li>\n<li><code>CheckBounds<\/code> \u2013 \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0435\u0441\u0442\u044c \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u044c \u043e\u0442 \u0434\u043b\u0438\u043d\u044b \u043c\u0430\u0441\u0441\u0438\u0432\u0430;<\/li>\n<li><code>GetByVal<\/code> \u2013 \u0432\u044b\u043d\u043e\u0441\u0438\u0442\u0441\u044f, \u0442\u0430\u043a \u043a\u0430\u043a \u043d\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u0442 \u043e\u0442 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0445, \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0445 \u0432\u043d\u0443\u0442\u0440\u0438 \u0446\u0438\u043a\u043b\u0430.<\/li>\n<\/ul>\n<p>  <\/p>\n<pre><code class=\"swift\">StructureCheck v8, expected_structure_id GetByVal v8, -698666199  \/\/ Loop header len = LoadArrayLength v8 \/\/ Do other loop header stuff  \/\/ Loop body StoreProperty v8, 'a', 42 CheckBounds -698666199, len  \/\/ Jump back to beginning of loop<\/code><\/pre>\n<p>  <\/p>\n<p>\u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u043c\u043e\u0436\u043d\u043e \u0447\u0438\u0442\u0430\u0442\u044c \u0438 \u043f\u0438\u0441\u0430\u0442\u044c \u0437\u0430 \u043f\u0440\u0435\u0434\u0435\u043b\u044b \u043c\u0430\u0441\u0441\u0438\u0432\u0430.<\/p>\n<p>  <\/p>\n<p>\u042d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044f \u0431\u0430\u0433\u043e\u0432 \u0432 js-\u0434\u0432\u0438\u0436\u043a\u0430\u0445 \u2013 \u044d\u0442\u043e \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 \u0436\u0430\u043d\u0440. \u0411\u0430\u0433 \u0432\u044b\u0448\u0435 \u0431\u044b\u043b\u043e \u043b\u0435\u0433\u043a\u043e \u043e\u043f\u0438\u0441\u0430\u0442\u044c, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043e\u043d \u0437\u0434\u0435\u0441\u044c. \u0414\u0440\u0443\u0433\u0438\u0435 \u043d\u0430\u0445\u043e\u0434\u043a\u0438 <code>fuzzilli<\/code> \u0442\u043e\u0436\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b, \u043d\u043e \u043e\u043d\u0438 \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u0437\u0430\u043a\u043e\u0432\u044b\u0440\u0438\u0441\u0442\u044b\u0435, \u0438 \u0438\u0445 \u043d\u0435 \u0443\u043c\u0435\u0441\u0442\u0438\u0442\u044c \u0432 \u043f\u0430\u0440\u0443 \u0430\u0431\u0437\u0430\u0446\u0435\u0432. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0437\u0434\u0435\u0441\u044c \u043e\u043d\u0438 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d\u044b \u0441\u043f\u0438\u0441\u043a\u043e\u043c.<\/p>\n<p>  <\/p>\n<div class=\"spoiler\" role=\"button\" tabindex=\"0\">                         <b class=\"spoiler_title\">\u0411\u0430\u0433\u0438 Gecko\/Spidermonkey, Chromium\/v8<\/b>                         <\/p>\n<div class=\"spoiler_text\">\n<h3 id=\"geckospidermonkey\">Gecko\/Spidermonkey<\/h3>\n<p>  <\/p>\n<ul>\n<li><a href=\"https:\/\/ssd-disclosure.com\/archives\/3765\/ssd-advisory-firefox-javascript-type-confusion-rce\">CVE-2018-12386<\/a>: IonMonkey register allocation bug leads to type confusions<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1791\">CVE-2019-9791<\/a>: IonMonkey&#8217;s type inference is incorrect for constructors entered via OSR<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1794\">CVE-2019-9792<\/a>: IonMonkey leaks JS_OPTIMIZED_OUT magic value to script<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1808\">CVE-2019-9816<\/a>: unexpected ObjectGroup in ObjectGroupDispatch operation<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1810\">CVE-2019-9813<\/a>: IonMonkey compiled code fails to update inferred property types, leading to type confusions<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1820\">CVE-2019-11707<\/a>: IonMonkey incorrectly predicts return type of Array.prototype.pop, leading to type confusions<\/li>\n<li><a href=\"https:\/\/bugzilla.mozilla.org\/show_bug.cgi?id=1647293\">CVE-2020-15656<\/a>: Type confusion for special arguments in IonMonkey<\/li>\n<\/ul>\n<p>  <\/p>\n<h3 id=\"chromiumv8\">Chromium\/v8<\/h3>\n<p>  <\/p>\n<ul>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1799\">Issue 939316<\/a>: Turbofan may read a Map pointer out-of-bounds when optimizing Reflect.construct<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1809\">Issue 944062<\/a>: JSCallReducer::ReduceArrayIndexOfIncludes fails to insert Map checks<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/chromium\/issues\/detail?id=950328\">CVE-2019-5831<\/a>: Incorrect map processing in V8<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/chromium\/issues\/detail?id=944865\">Issue 944865<\/a>: Invalid value representation in V8<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/chromium\/issues\/detail?id=969588\">CVE-2019-5841<\/a>: Bug in inlining heuristic<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/chromium\/issues\/detail?id=972921\">CVE-2019-5847<\/a>: V8 sealed\/frozen elements cause crash<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/chromium\/issues\/detail?id=976627\">CVE-2019-5853<\/a>: Memory corruption in regexp length check<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1923\">Issue 992914<\/a>: Map migration doesn&#8217;t respect element kinds, leading to type confusion<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/chromium\/issues\/detail?id=1084820\">CVE-2020-6512<\/a>: Type Confusion in V8<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/chromium\/issues\/detail?id=1133527\">CVE-2020-16006<\/a>: Memory corruption due to improperly handled hash collision in DescriptorArray<\/li>\n<li><a href=\"https:\/\/bugs.chromium.org\/p\/chromium\/issues\/detail?id=1250660\">CVE-2021-37991<\/a>: Race condition during concurrent JIT compilation<\/li>\n<\/ul>\n<\/div><\/div>\n<p>  <\/p>\n<h1 id=\"anchorsummaryanchorvyvod\"><a name=\"Summary\"><\/a>\u0412\u044b\u0432\u043e\u0434<\/h1>\n<p>  <\/p>\n<p><code>fuzzilli<\/code> \u2013 \u044d\u0442\u043e \u0444\u0430\u0437\u0437\u0435\u0440 \u0434\u043b\u044f <code>js<\/code>-\u0434\u0432\u0438\u0436\u043a\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442 \u0431\u043e\u043b\u044c\u0448\u0435\u0435 \u043f\u043e\u043a\u0440\u044b\u0442\u0438\u0435 \u043a\u043e\u0434\u0430, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u0435\u0442 \u0438 \u0441\u0438\u043d\u0442\u0430\u043a\u0441\u0438\u0447\u0435\u0441\u043a\u0438 \u0438 \u0441\u0435\u043c\u0430\u043d\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0432\u0430\u043b\u0438\u0434\u043d\u044b\u0439 \u043a\u043e\u0434, \u0442\u043e \u0435\u0441\u0442\u044c \u043d\u0430\u0441\u0442\u043e\u044f\u0449\u0438\u0435 <code>js<\/code>-\u0441\u043a\u0440\u0438\u043f\u0442\u044b. \u0412 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u043c\u044b \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u043b\u0438, \u043a\u0430\u043a \u043e\u043d\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442. <\/p>\n<p>  <\/p>\n<p>\u0415\u0449\u0435 \u0431\u043e\u043b\u044c\u0448\u0435 \u0434\u0435\u0442\u0430\u043b\u0435\u0439 \u0435\u0441\u0442\u044c \u0432 \u0442\u0440\u0443\u0434\u0430\u0445:<\/p>\n<p>  <\/p>\n<ul>\n<li><a href=\"https:\/\/saelo.github.io\/papers\/thesis.pdf\"><code>FuzzIL: Coverage Guided Fuzzing for JavaScript Engines<\/code><\/a><\/li>\n<li><a href=\"https:\/\/sensepost.com\/blog\/2020\/the-hunt-for-chromium-issue-1072171\/\"><code>The hunt for Chromium issue 1072171<\/code><\/a><\/li>\n<li><a href=\"https:\/\/blog.doyensec.com\/2020\/09\/09\/fuzzilli-jerryscript.html\"><code>Fuzzing JavaScript Engines with Fuzzilli<\/code><\/a><\/li>\n<\/ul>\n<p>  <\/p>\n<p>\u0415\u0441\u043b\u0438 \u0437\u0430\u043d\u0438\u043c\u0430\u0435\u0442\u0435\u0441\u044c \u043f\u043e\u0438\u0441\u043a\u043e\u043c \u0431\u0430\u0433\u043e\u0432 \u0432 <code>js<\/code>, \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u0438\u0433\u043e\u0434\u0438\u0442\u044c\u0441\u044f.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"v-portal\" style=\"display:none;\"><\/div>\n<\/div>\n<p> <!----> <!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/company\/dsec\/blog\/690742\/\"> https:\/\/habr.com\/ru\/company\/dsec\/blog\/690742\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-1\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/webt\/jw\/wm\/9i\/jwwm9iiwuhuwvorbyptlxumgwpi.png\" data-src=\"https:\/\/habrastorage.org\/webt\/jw\/wm\/9i\/jwwm9iiwuhuwvorbyptlxumgwpi.png\"\/><\/div>\n<p>  <\/p>\n<p><a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli\"><code>fuzzilli<\/code><\/a> \u2013 \u044d\u0442\u043e \u0444\u0430\u0437\u0437\u0435\u0440 \u0434\u043b\u044f javascript-\u0434\u0432\u0438\u0436\u043a\u043e\u0432 \u043e\u0442 \u043a\u043e\u043c\u0430\u043d\u0434\u044b <code>googleprojectzero<\/code>. \u0415\u0433\u043e \u043e\u0442\u043b\u0438\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u0430\u044f \u0447\u0435\u0440\u0442\u0430 \u2013 \u044d\u0442\u043e <code>FuzzIL<\/code>, \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u0447\u043d\u044b\u0439 \u044f\u0437\u044b\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u043e\u0436\u043d\u043e \u043c\u0443\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438 \u0437\u0430\u0442\u0435\u043c \u0442\u0440\u0430\u043d\u0441\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0432 <code>js<\/code>. \u042d\u0442\u043e\u0442 \u044f\u0437\u044b\u043a \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442 \u043c\u0443\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c\u0443 <code>js<\/code> \u0441\u0435\u043c\u0430\u043d\u0442\u0438\u0447\u0435\u0441\u043a\u0443\u044e \u0432\u0430\u043b\u0438\u0434\u043d\u043e\u0441\u0442\u044c: \u0434\u0430\u0436\u0435 \u043f\u043e\u0441\u043b\u0435 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0440\u0430\u0443\u043d\u0434\u043e\u0432 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439 \u0432 \u043a\u043e\u0434\u0435 \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f \u043b\u043e\u0433\u0438\u043a\u0430, \u0441 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0434\u0432\u0438\u0436\u043e\u043a \u0431\u0443\u0434\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c.<\/p>\n<p>  <\/p>\n<h1 id=\"dvizhki-kotorye-mozhno-fazzit\">\u0414\u0432\u0438\u0436\u043a\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0436\u043d\u043e \u0444\u0430\u0437\u0437\u0438\u0442\u044c<\/h1>\n<p>  <\/p>\n<ul>\n<li><a href=\"https:\/\/github.com\/WebKit\/webkit\">JavaScriptCore(webkit)<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/jerryscript-project\/jerryscript\">Jerryscript<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/bellard\/quickjs\">QJS<\/a><\/li>\n<li><a href=\"http:\/\/git:\/\/code.qt.io\/qt\/qt5.git\">QTJS<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/mozilla\/gecko-dev\">Spidermonkey(gecko)<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/v8\/v8\">V8<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/Moddable-OpenSource\/moddable\">XS<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/svaarala\/duktape\">duktape<\/a><\/li>\n<\/ul>\n<p>  <\/p>\n<p>\u0412 \u044d\u0442\u043e\u043c \u0441\u043f\u0438\u0441\u043a\u0435 <code>V8<\/code>, <code>Spidermonkey<\/code>, <code>XS<\/code> \u0438 <code>duktape<\/code> \u0443\u0436\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0442 \u0440\u0430\u0431\u043e\u0442\u0443 \u0441 <code>fuzzilli<\/code>. \u0410 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 \u0434\u0432\u0438\u0436\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u043f\u0430\u0442\u0447\u0438\u0442\u044c \u0438 \u043d\u0430\u0447\u0430\u0442\u044c \u0444\u0430\u0437\u0437\u0438\u043d\u0433, \u043f\u0430\u0442\u0447\u0438 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u044b \u0432 \u0441\u043e\u0441\u0442\u0430\u0432 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430.<\/p>\n<p>  <\/p>\n<p>\u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e <code>fuzzilli<\/code> \u0443\u0436\u0435 \u043d\u0430\u0439\u0434\u0435\u043d\u043e \u043c\u043d\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0445 <a href=\"https:\/\/github.com\/googleprojectzero\/fuzzilli#bug-showcase\">\u0431\u0430\u0433\u043e\u0432<\/a> \u0442\u0438\u043f\u0430 <code>OOB<\/code>. \u0420\u0430\u0437\u0431\u0435\u0440\u0435\u043c\u0441\u044f, \u043a\u0430\u043a \u043e\u043d \u0443\u0441\u0442\u0440\u043e\u0435\u043d.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-339134","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/339134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=339134"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/339134\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=339134"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=339134"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=339134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}