Korumalı alan korumalarını aşmak için kullanılabilecek iki kritik kusuru gidermek için vm2 JavaScript kitaplığı için yeni bir yama dizisi kullanıma sunuldu.
Her iki kusur – CVE-2023-29199 ve CVE-2023-30547 – CVSS puanlama sisteminde 10 üzerinden 9,8 olarak derecelendirilmiştir ve sırasıyla 3.9.16 ve 3.9.17 sürümlerinde ele alınmıştır.
Bir saldırganın temizlenmemiş bir ana bilgisayar istisnası oluşturmasına izin veren hataların başarılı bir şekilde kullanılması, sanal alandan kaçmak ve ana bilgisayar bağlamında rasgele kod çalıştırmak için silah haline getirilebilir.
Vm2 kitaplığının koruyucuları bir uyarıda “Bir tehdit aktörü, sanal alanı çalıştıran ana bilgisayarda uzaktan kod yürütme hakları elde etmek için sanal alan korumalarını atlayabilir” dedi.
Güvenlik açıklarını keşfeden ve bildiren güvenlik araştırmacısı SeungHyun Lee, söz konusu iki sorun için kavram kanıtı (PoC) istismarları yayınladı.
Açıklama, vm2’nin temel sistemde rastgele kod yürütülmesine yol açabilecek başka bir sanal alan kaçış kusurunu (CVE-2023-29017, CVSS puanı: 9.8) düzeltmesinden bir haftadan biraz daha uzun bir süre sonra geldi.
Oxeye araştırmacılarının geçen yılın sonlarında vm2’de Sandbreak kod adlı kritik bir uzaktan kod yürütme güvenlik açığını (CVE-2022-36067, CVSS puanı: 9.8) detaylandırdıklarını belirtmekte fayda var.