Un double free se produit quand un programme appelle free() (ou un équivalent) deux fois sur la même zone mémoire ( sur le même pointeur). Après le premier free, la mémoire redevient disponible pour l’allocateur — si on la libère une deuxième fois, on corrompt les structures internes de l’allocateur (les metadata du tas), ce qui peut mener à un comportement indéfini.
Les allocateurs de mémoire maintiennent des listes (free lists) et des métadonnées pour suivre les blocs libres. Une corruption de ces structures peut permettre à un attaquant de : - Ecrire arbitrairement en mémoire (corruption de pointeurs dans les freelists → contrôle d’un pointeur utilisé ensuite). - Réutiliser un même bloc à deux endroits (two allocations qui retournent le même pointeur logique). - Escalade de privilèges / jailbreak : en contrôlant des pointeurs ou des retours d’appel, l’attaquant peut détourner le flux d’exécution. Concrètement, un double free est souvent transformé dans un exploit en primitive d’écritures arbitraires (arbitrary write), qui est l’une des briques pour contourner les protections et exécuter du code non signé. En clair, en obtenant le double free, Gezine a une nouvelle fois passé une étape importante dans le contrôle de l'exploit Y2JB, cela ne signifie pas encore qu'il est encore utilisable, cela veut simplement dire qu'il progresse dans son exploitation.
Source: https://www.logic-sunrise.com/forums/to ... -sur-y2jb/