[13] [WebCore] IndexedDB hash invariant fix for -0/+0 keys

Severity: High | Component: WebCore IndexedDB / NetworkProcess | 917854a

IDBKeyData의 HashMap invariant 위반을 수정한 commit입니다. add(Hasher&, ...)는 raw double을 bit pattern 기준으로 해시하는 반면, operator==는 IEEE 754 동등성을 사용했습니다. 이 불일치로 인해 -0.0과 +0.0은 서로 다른 해시 버킷에 배치되며, 이후 삭제 과정에서 잘못된 버킷을 탐색하게 됩니다. 결과적으로 open cursor가 참조 중인 live entry가 파괴되는 UAF가 IndexValueStore 항목에서 발생합니다. 이런 이유로 Severity를 High로 평가합니다.

add(Hasher&, const IDBKeyData&)에서 Number/Date payload 해시 전에 -0.0을 +0.0으로 정규화하는 처리가 추가되어 a == b ⇒ hash(a) == hash(b) 계약이 복원됩니다. MemoryIndex::transactionAborted는 rollback 전에 open cursor 전체에 무효화를 전파하며, UniqueIDBDatabase::didFinishHandlingVersionChangeTransaction은 관련 필드를 변경하기 전에 transaction 상태를 먼저 검증합니다.

Source/WebCore/Modules/indexeddb/shared/IDBKeyData.cpp

- add(hasher, m_numberValue);

+ add(hasher, m_numberValue == 0.0 ? 0.0 : m_numberValue); // -0 정규화

HashMap invariant 위반: IDBKeyData에 대한 bit-pattern 해시와 IEEE 754 동등성의 불일치로 in-memory index store가 손상되었으며, open cursor가 참조 중인 live record가 파괴되었습니다.

Patch Details

Number/Date 키의 해시 경로에서 -0을 +0으로 정규화합니다. MemoryIndex::transactionAborted는 rollback 전에 open cursor를 무효화하며, NetworkProcess의 UniqueIDBDatabase::didFinishHandlingVersionChangeTransaction은 상태 변경 전에 transaction 상태를 재검증합니다.

Background

IndexValueStore는 IDBKeyData를 키로 사용하는 HashMap입니다. 이 in-memory backing store는 ephemeral 세션 및 private-browsing 세션에서 사용되는 경로로, IDB 서버는 NetworkProcess에서 실행됩니다. HashMap의 기본 계약은 동일한 키는 반드시 동일하게 해시되어야 한다는 것입니다.

Analysis

패치 이전에는 Number/Date 키에 대해 add(Hasher&, const IDBKeyData&)가 raw double 값을 그대로 전달했습니다. 해시 함수는 bit pattern 기준으로 처리하므로, -0.0(sign bit가 설정된 상태)과 +0.0(sign bit가 없는 상태)은 서로 다른 해시 값을 생성했습니다. 반면 IDBKeyData::operator==는 IEEE 754 수치 동등성을 사용하며, 이 기준에서는 -0.0 == +0.0이 성립합니다.

Aaaa Aa Aaaa Aaa Aaaaa

Aaa
Aaaaaa Aaa Aaa a Aaaaaaaa a Aaaaaa Aa Aaaa Aaa Aa
Aaaaaa Aaa Aaa a Aaaaaaaaaaaaaaaaa Aaaaa Aaa Aaaaaaaaaa Aaaaaaa Aaa
Aaaaaaaaaaaaaaa Aaaaaaaa Aaaaaaaaa
Aaaaaa Aaa Aa a Aaaaaaaa a Aaaaaa Aa Aaaa Aaaaa Aaaaaaaaa Aaaa Aaa
Aaaaaaa Aaa Aaaaaaaa Aaa Aa Aaaaa Aa Aaaaaa a
Aaa

a Aaaa Aaaaaaaa Aaa Aaaa Aaaaa Aaaa Aaaaaaaaaaaaaaaaaaaa Aa Aa Aaaaaa Aa Aaaa Aaaaa Aa Aaaaaa Aaa Aaa Aaaaaaa Aaaaa Aaaa Aaaa Aaaaaaaa Aaa Aaaaa Aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Aaaaaaaa a Aaaa Aaaaaaa Aa Aa Aa Aaaaa Aaaaaaa Aaaaa Aaaa Aaaaaa a Aaa Aaaaaaaaaaaaaaaa Aaa Aaaaa Aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Aaaaaaaaaaa Aa Aaa Aaaa Aa Aaa Aaaaaa

Aaaaa Aaaaaaaaaa Aaaaaaaaa Aaaaa Aaaaaaaaaa Aaaaaa Aaaaaaa Aaa Aaaaaaa Aa Aaaaaaaaaaaaaaaaaaaa Aa Aaaa Aaa Aaaaaaaaaa Aa a Aaaaa

🔒

The HashMap-corruption mechanism is dissected against the underlying type system, and the cursor-lifetime and IPC-validation aspects are traced to the same trust-boundary theme.

더 확인하려면 구독해 주세요

Audit directions

a Aaaaaaaaaaaaaaa Aaaa Aa Aa Aaaaaaaaaaaa Aaaaa Aaaaaaa Aaaaa Aaa Aa Aaa Aaaaaaaaaaaaaa Aa Aaaa Aaaa Aaa Aaa Aaaaaa
a Aaaaaa Aa Aaa Aaaaaaaaaa Aaa Aaaaaaa Aaaa Aaaaaaaaaaa Aaaaaaa Aaaaaaaa Aaaaa Aaaa Aaa Aa Aa Aa Aaaa Aa Aaaaaaaaaaa Aaaaaa Aaa Aaaaaaaaaaa Aaaa Aaaa Aaaa
a Aaaaaaaaaaaaaaaaaaaaaaa Aaaaaaaaaaaaaaaaaaaaaa Aaaaaaaaaaaaa Aaaa Aaaaaaaaaaaaa Aaaaaa Aaaaaaaaaaa Aa Aa Aaaa Aaaaaa Aaaa Aaaaa Aaaa Aaaa

🔒

Four reusable audit patterns identified, spanning hash/equality contracts, cursor invalidation discipline, and IPC state-machine validation, each with concrete grep starting points.

더 확인하려면 구독해 주세요