Exploit-Code: Schadcode könnte aus JavaScript-Sandbox vm2 ausbrechen Update
Die populäre vm2-Sandbox hat eine kritische Sicherheitslücke und Exploit-Code ist bereits im Umlauf.
Angreifer könnten zeitnah Systeme mit der JavaScript-Sandbox vm2 attackieren und mit Schadcode aus der Sandbox ausbrechen. Als Basis dafür könnte jüngst veröffentlichter Exploit-Code dienen.
Mit der vm2-Bibliothek führen Entwickler nicht vertrauenswürdigen Code abgeschottet auf einem Node.js-Server aus. Die vm2-Sandbox ist weit verbreitet und wird monatlich millionenfach aus dem NPM-Repository heruntergeladen.
Ausbruch ins Host-System
Die „kritische“ Sicherheitslücke (CVE-2023-29017) ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Wie aus einer Warnmeldung hervorgeht [1], kommt es bei der Verarbeitung von Hoste-Objekten im Kontext der Funktion Error.prepareStackTrace
zu Fehlern, sodass Angreifer aus der Sandbox ausbrechen können. Im Anschluss könnten sie eigenen Code im Host-System ausführen und so den Computer vollständig kompromittieren.
Die Entwickler geben an, die Lücke in der vm2-Version 3.9.15 geschlossen zu haben. Alle vorigen Ausgaben sollen verwundbar sein.
Mittlerweile ist Version 3.9.17 erschienen, in der die Entwickler eine weitere "kritische" Sicherheitslücke (CVE-2023-30547) geschlossen haben.
(des [2])
URL dieses Artikels:
https://www.heise.de/-8875269
Links in diesem Artikel:
[1] https://github.com/patriksimek/vm2/security/advisories/GHSA-7jxr-cg7f-gpgv
[2] mailto:des@heise.de
Copyright © 2023 Heise Medien