JavaScript-ի vm2 գրադարանի համար հասանելի են դարձել նոր թարմացումներ, որոնք ուղղված են ներկայիս երկու կարևոր խոցելիությունների հարցը լուծելու համար:
JavaScript-ի vm2 գրադարանի երկու խոցելիություններն են՝ CVE-2023-29199 ու CVE-2023-30547, որոնք CVSS գնահատման համակարգում գնահատվում են 10-ից 9.8 միավորուվ և ուղղված են 3.9.16 և 3.9.17 տարբերակներին:
Bug-երի հաջող շահագործումը կարող է նպաստել sandbox-ից խուսափելուն և host-ի համատեքստում կամայական կոդի գործարկմանը:
Խոցելիության հայտնաբերումն ու լուսաբանումը վերագրվում է անվտանգության ոլորտի փորձագետ՝ Սեունգ Հյուն Լինին, ով նաև թողարկել է proof-of-concept (PoC) և երկու այլ կարևոր խնդիրների լուծումները:
Լուսաբանումը տեղի ունեցավ, երբ vm2-ը շտկեց sandbox-ից խուսափելու մեկ այլ խոցելիություն (CVE-2023-29017, CVSS), որը կարող էր համակարգում հանգեցնել կամայական կոդի գործարկմանը:
Հարկ է նաև նշել, որ Oxeye-ի հետազոտողները դեռևս անցյալ տարվա դրությամբ լուսաբանել էին vm2-ում remote code-ի կատարման կարևոր բացի մասին (CVE-2022-36067, CVSS-ը՝ 9.8 միավոր), որը ստացել էր Sandbreak ծածկանունը:
Աղբյուրը՝ https://thehackernews.com/