Move语言引用安全模块中发现新的整数溢出漏洞

近期，在对Move语言进行深入研究时，我们发现了一个新的整数溢出漏洞。这个漏洞存在于引用安全验证过程中，其触发过程颇为有趣。本文将深入分析这个漏洞，并探讨Move语言的一些背景知识。

Move语言在执行字节码前会进行代码单元验证，分为四个步骤。这个漏洞出现在reference_safety步骤中。该步骤负责验证引用的安全性，包括检查是否存在悬空引用、可变引用访问是否安全、全局存储引用访问是否安全等。

引用安全验证的入口函数会调用analyze_function，对每个基本块进行验证。基本块是指除入口和出口外没有分支指令的代码序列。Move语言通过遍历字节码，查找所有分支指令和循环指令序列来识别基本块。

Move语言支持两种引用类型：不可变引用(&)和可变引用(&mut)。引用安全模块通过扫描函数中基本块的字节码指令来验证所有引用操作的合法性。验证过程使用AbstractState结构体，包含borrow graph和locals，用于确保函数中引用的安全性。

漏洞出现在join_函数中。当参数长度加上局部变量长度超过256时，由于iter_locals()函数返回u8类型的迭代器，会导致整数溢出。虽然Move有校验locals个数的过程，但在check bounds模块中只校验了locals，没有包括参数长度。

这个整数溢出可能导致拒绝服务（DoS）攻击。当存在循环代码块并利用溢出改变块的state时，新的locals map与之前不同。再次执行execute_block函数时，如果指令需要访问的索引在新的AbstractState locals map中不存在，将导致DoS。

我们提供了一个可在git中重现的PoC。该PoC中的代码块包含一个无条件分支指令，每次执行最后一条指令时都会跳回第一条指令，从而多次调用execute_block和join函数。

这个漏洞说明即使是像Move这样注重安全的语言也可能存在安全隐患。代码审计的重要性不言而喻，程序员难免会有疏忽。作为Move语言安全研究的领导者，我们将继续深入研究Move的安全问题。

我们建议Move语言设计者在运行时增加更多的检查代码，以防止意外情况发生。目前Move主要在verify阶段进行安全检查，但这可能还不够。一旦验证被绕过，运行阶段缺乏足够的安全加固可能导致更严重的问题。