Korumalı alan korumalarını aşmak ve kod yürütmeyi gerçekleştirmek için kullanılabilecek iki kritik kusuru gidermek için vm2 JavaScript kitaplığı için yeni bir yama dizisi kullanıma sunuldu.
Her iki kusur – CVE-2023-29199 Ve CVE-2023-30547 – CVSS puanlama sisteminde 10 üzerinden 9,8 olarak derecelendirilmiştir ve sırasıyla 3.9.16 ve 3.9.17 sürümlerinde ele alınmıştır.
Başarılı sömürü arasında böceklerBir saldırganın temizlenmemiş bir ana bilgisayar istisnası oluşturmasına izin veren , sanal alandan kaçmak ve ana bilgisayar bağlamında rasgele kod çalıştırmak için silah haline getirilebilir.
Vm2 kitaplığının koruyucuları bir uyarıda “Bir tehdit aktörü, sanal alanı çalıştıran ana bilgisayarda uzaktan kod yürütme hakları elde etmek için sanal alan korumalarını atlayabilir” dedi.
Güvenlik açıklarını keşfeden ve bildiren güvenlik araştırmacısıdır. SeungHyun Leeayrıca sahip olan piyasaya sürülmüş kavramın ispatı (PoC) söz konusu iki sorun için açıklardan yararlanır.
Açıklama, vm2’nin temel sistemde rastgele kod yürütülmesine yol açabilecek başka bir sanal alan kaçış kusurunu (CVE-2023-29017, CVSS puanı: 9.8) düzeltmesinden bir haftadan biraz daha uzun bir süre sonra gelir.
Oxeye araştırmacılarının geçen yılın sonlarında vm2’de Sandbreak kod adlı kritik bir uzaktan kod yürütme güvenlik açığını (CVE-2022-36067, CVSS puanı: 9.8) detaylandırdıklarını belirtmekte fayda var.