Il developer Mike continua a documentare l’exploit nel lv0ldr della console PlayStation 3 e che potrebbe portare ben presto ad una nuova implementazione basata sull’hardware rilasciato da Juan Nadie e i tre moschettieri nel 2012.
Lo sviluppo ripreso anche dal developer notzecoxao potrebbe portare all’installazione di un vero e proprio Custom Firmware sulla serie 3000 (Slim) e probabilmente anche 4000 (SuperSlim).
https://twitter.com/notzecoxao/status/1604902063246348290
L’exploit nel lv0ldr utilizzato per eseguire il dump del lv0ldr prende di mira l’elaborazione dei pacchetti syscon tra syscon e SB/Cell.
Alla fine è stato scoperto che in lv0 il codice che gestisce le letture dei pacchetti syscon conteneva un bug TOCTOU che rilegge l’intestazione del pacchetto dopo la convalida.
Tuttavia questo problema da solo non sarebbe sufficiente per sfruttare lv0ldr. Dovremmo essere in grado di cronometrare e iniettare le scritture di memoria nello spazio MMIO contenente il buffer del pacchetto syscon per passare il primo checksum e quindi scrivere la nuova intestazione per sfruttare il memcpy di dimensioni arbitrarie.
La finestra temporale per sfruttarlo è estremamente, estremamente ridotta. Fortunatamente, possiamo espandere arbitrariamente questa finestra temporale grazie alle funzionalità di debug che IBM ha lasciato nella cella.
Sia per le SPU normali che per quelle isolate, possiamo attivare gli interrupt per qualsiasi trasferimento MFC all’interno o all’esterno della SPU. Questo ci consente di sospendere l’esecuzione del lv0ldr su qualsiasi accesso alla memoria, abilitando l’exploit e scaricando lv0ldr.
L’articolo completo di immagini e schemi si rende disponibile all’interno della repository del developer MikeM64.
Fonte: twitter.com
