Move语言引用安全模块中发现新的整数溢出漏洞

近期，在深入研究Move语言时发现了一个新的整数溢出漏洞。这个漏洞存在于引用安全验证模块中，其触发过程较为有趣。本文将对这个漏洞进行深入分析，同时介绍相关的Move语言背景知识。

Move语言在执行字节码之前会对代码单元进行验证，整个验证过程分为4个步骤。本次发现的漏洞出现在reference_safety步骤中。

引用安全验证模块主要负责检查是否存在悬空引用、可变引用访问是否安全、全局存储引用访问是否安全等。验证过程从analyze_function函数开始，对每个基本块进行验证。

在Move语言中，基本块是指除入口和出口外没有分支指令的代码序列。系统通过遍历字节码，查找所有分支指令和循环指令序列来确定基本块。

Move语言支持两种引用类型：不可变引用(&)和可变引用(&mut)。引用安全模块会扫描函数中各基本块的字节码指令，判断所有引用操作是否合法。验证过程使用AbstractState结构体，包含borrow graph和locals两个组件，用于确保函数中引用的安全性。

在验证过程中，系统会执行基本块代码生成post state，然后将pre state和post state合并更新块状态。如果状态发生变化且存在循环，则会重复执行该基本块，直到post state等于pre state或出现错误。

漏洞出现在join_函数中。当参数长度加上局部变量长度超过256时，由于使用u8类型迭代locals，会导致整数溢出。虽然Move语言有校验locals个数的过程，但只检查了局部变量数量，未包括参数长度。

这个整数溢出可能导致拒绝服务攻击。攻击者可以构造一个循环代码块，利用溢出改变块的state。当再次执行execute_block函数时，如果指令需要访问的索引在新的AbstractState locals map中不存在，就会导致系统崩溃。

为了演示这个漏洞，我们可以构造一个包含无条件分支指令的基本块。通过设置适当的参数和局部变量数量，可以使locals map长度溢出为8。在第二次执行时，尝试访问不存在的offset就会导致panic。

这个漏洞提醒我们，即使是经过精心设计的语言也可能存在安全隐患。对Move语言来说，建议在运行时增加更多的检查代码，以防止意外情况发生。目前Move主要在verify阶段进行安全检查，但一旦验证被绕过，可能会引发更严重的问题。

作为Move语言安全研究的先行者，我们将继续深入探索相关安全问题，为Move生态系统的健康发展贡献力量。