PHP 8.4’ün : Framework IR ve JIT Bellek Yolsuzluğu (Corruption)

PHP 8.4, performans çıtasını gökyüzüne çıkarmak amacıyla JIT derleyicisini yeniden tasarladı.
Ancak siber güvenlik dünyasında bir kural vardır: "Karmaşıklık, zafiyetin en yakın dostudur."

1. Büyük Değişim: Framework IR Nedir?​

PHP 8.4 öncesinde JIT, doğrudan makine kodu üretiyordu. 8.4 sürümüyle birlikte PHP, Framework IR (Intermediate Representation) denilen yeni bir yapıya geçti. Bu yapı, PHP kodunu işlemciye göndermeden önce optimize eden bir "ara durak" gibidir.

2. Riskli Senaryo: Bellek Yönetimi ve Tip Karışıklığı (Type Confusion)​

JIT derleyicileri, kodun "sıcak" (çok sık kullanılan) kısımlarını optimize ederken bazı varsayımlarda bulunur.
PHP 8.4'te, eğer bir değişkenin tipi JIT tarafından yanlış tahmin edilirse ve bu durum yeni Framework IR katmanında bir mantık hatasıyla birleşirse, "Type Confusion" dediğimiz durum ortaya çıkar.

Saldırı Vektörü Nasıl Çalışır?

1. Zehirli Fonksiyon: Saldırgan, JIT'in optimize etmek isteyeceği kadar karmaşık ve döngüsel bir PHP kodu gönderir.
2. Hatalı Optimizasyon: Framework IR, değişkenin her zaman integer olacağını varsayarak bellekte yer ayırır.
3. Bellek Taşması: Saldırgan, çalışma anında (runtime) bu değişkeni beklenmedik bir string veya object ile değiştirerek JIT'in ayırdığı bellek sınırlarının dışına taşar.
4. Kod Yürütme: Bellekteki bu taşma, CPU'nun komut göstergesini (Instruction Pointer) saldırganın istediği bir adrese (örneğin /bin/sh) yönlendirmesine neden olabilir.

3. "Property Hooks" ile Birleşen Tehlike​

PHP 8.4 ile gelen Property Hooks, JIT için işleri daha da karmaşıklaştırıyor.
Bir özelliğe (property) her erişildiğinde arka planda çalışan gizli hook fonksiyonları, JIT'in "çizgisel" optimizasyonunu bozar.
Bu durum, özellikle paylaşımlı hosting ortamlarında bir kullanıcının diğerinin bellek alanına sızmasına (Memory Leak) yol açabilir.

4. Neden Çok Riskli?​

• Tespit Edilemez: Bu açıklar geleneksel WAF (Web Application Firewall) cihazları tarafından yakalanamaz çünkü saldırı doğrudan PHP'nin kalbinde, RAM seviyesinde gerçekleşir.
• 0-Day Potansiyeli: Yeni Framework IR katmanı henüz milyonlarca gerçek dünya senaryosunda test edilmedi. Bu da "Zero-Day" avcıları için PHP 8.4'ü birincil hedef haline getiriyor.

---

Nasıl Korunmalı? (Savunma Stratejisi)​

1. JIT Modu Seçimi: Üretim ortamında JIT'i tracing modunda kullanırken, opcache.jit_debug seçeneklerini kapalı tutun.
2. Bellek Limitleri: memory_limit değerini çok agresif tutmayın; JIT'in ihtiyaç duyduğu güvenli alanı daraltmak, taşma risklerini artırabilir.
3. Güncellemeleri Takip Edin: PHP 8.4.x sürümleri için yayınlanacak olan "security patch" bültenlerini anlık takip etmek, bu yeni mimarideki delikleri kapatmak için tek yoldur.

Sonuç: PHP 8.4 hızıyla büyülüyor, ancak Framework IR gibi yeni teknolojiler "hız" ile "güvenlik" arasındaki ince çizgide yürümemizi gerektiriyor.
Modern bir PHP geliştiricisi artık sadece kodun ne yaptığını değil, JIT'in o kodu nasıl yorumladığını da düşünmek zorunda.