Le code de démonstration crée initialement un objet FontFace, forçant son chargement via l'API de polices du navigateur. L'accès à la propriété .thenprototype FontFace, normalement utilisée en interne par les promesses WebKit, est ensuite intercepté. Durant cette phase, le code effectue simultanément plusieurs opérations, notamment la création de nouvelles polices, la suppression dynamique d'une règle CSS et le réagencement forcé de la page. Cette combinaison d'opérations génère une situation critique dans le moteur WebKit : certaines structures de mémoire sont libérées alors qu'elles sont encore utilisées par le système, provoquant ainsi la condition classique d'utilisation après libération. Le résultat actuel est principalement un plantage contrôlé du navigateur, mais il est utile comme base pour des développements futurs plus avancés. D'après les tests partagés par la communauté, la preuve de concept semble fonctionner même sur les firmwares de consoles récents, y compris la version 13.20. Cependant, il ne s'agit pas actuellement d'une exploitation complète ni d'un jailbreak prêt à l'emploi. Il lui manque des éléments clés tels qu'une fuite d'informations stable et des primitives fiables pour l'exécution de code arbitraire en espace utilisateur. Malgré cela, le travail de ntfargo est très intéressant, il confirme que le navigateur WebKit de la PS5 continue de représenter l'un des principaux points d'entrée pour les futures recherches liées au jailbreak. Sony continue de corriger régulièrement ce type de vulnérabilités via des mises à jour du firmware, mais de nouveaux bugs continuent d'apparaître, notamment dans des zones plus complexes du moteur web telles que la gestion des polices et le rendu CSS. Tout est là : Use-after-free in CSSFontFace::setStatus and CSSFontFace::pump
Source: https://www.logic-sunrise.com/forums/to ... ware-1320/