Mathieu Explains 3.60 Exploit - 改機

http://goo.gl/MNjUv

看來Mathieulh 之前賣很大的關子銷路慘淡，沒人買帳結果害自己被邊緣晾在一
旁，於是非常積極的想要重回大眾焦點XD。來看看這個傳說中SONY無法補救的漏
洞是怎麼一回事：

The cats out of the bag, after many subtle hints, Mathieu explains
his exploit and how it will lead to application keys. With the help
of this loader exploit, devs can now obtain the Bootloader keys which
will lead to the Application keys and eventually, a 3.60 CFW! With
application keys, Portal 2 and future 3.60 encrypted games may soon
be playable!

Synopsis of Mathieu's explanation of the exploit:

The function that copies the SCE header from the shared LS to the
isolated Local Store doesn't check the header's size.
檢查self檔案標頭(header)的函式不會查驗標頭的大小

[So] you craft a self with a HUGE header so [that] it overwrites
ldr code as it gets copied to the isolated LS and you wait [for] the
loader to jump to it.
所以說如果你搞了個超大標頭的檔案，就有可能發生溢位，讓你設計的標頭裡的
東西蓋到程式指標，把內容蓋成指向自己的程式，然後主機就載入你設計的程式
了（噗哧XD）

[Then] you can get lv0 decrypted, once you get lv0 decrypted, you
get appldr, once you get appldr, you get 3.60 application keys, [and]
once you get that, you [get] warez.
在你的程式裡面，你可以解密Lv 0，當Lv 0解密之後，就可以解出appldr，解出
appldr之後，就可以得到程式的解密金鑰，解密金鑰到手後，就可以解密用3.60
金鑰加密的程式

******

SONY設計的程式載入方式是先讀取檔案標頭，裡面會記載程式加密方式跟版本，
之後在拿對應的金鑰去解密，在讀取檔案標頭（標準長度是 0x980）時候，沒去
檢查長度，會一直讀到尾巴，於是就有可能就把人家設計好的片段一口氣讀進去
記憶體裡面，總之非常類似3.41的 JIG漏洞，當時是SONY忘記檢查 USB裝置描述
子的長度，結果被人家設計一個超大描述子送進去，把整個數位簽證的機制瓦解
掉。

好吧，這個洞雖然可以解密Lv 0，但也是補得起來的。我記得在這之前就有人用
其他方法解出Lv 0了。

那這個洞對SONY有什麼影響？

******

also, with those keys you can sign your own lv0, no ps3 fw update can
beat you then
yah
you can have your 3.60+ custom firmware then
and warez even more
and mess with the psn again
and so on

拿到Lv 0的金鑰，就可以拿來簽自己的Lv 0，所以日後所有的韌體更新都不用擔
心了。

******

嘖嘖，看來這個洞比3.41的JIG 漏洞還大條=.=

不知道會不會有人把petitboot 簽上Lv 0的金鑰，這樣就可以丟掉SONY那限制多
多的bootloader了。

--

○ ____ _ _ _ _ ____ _ _ ____ _____ ____
。 ★(_ _)( \( )( \/ )( ___)( \( )(_ _)( _ )( _ \
ｏ _)(_ ) ( \ / )__) ) ( )( )(_)( ) / ● ‧
(____)(_)\_) \/ (____)(_)\_) (__) (_____)(_)\_) ★
ｏ

--