一名安全研究人员发布了另一个沙箱逃逸概念验证 (PoC) 漏洞,可以在运行 VM2 沙箱的主机上执行不安全代码。
VM2 是一个专门的 JavaScript 沙箱,广泛用于在隔离环境中运行和测试不受信任的代码的软件工具,防止代码访问主机的系统资源或外部数据。
该库常见于集成开发环境 (IDE)、代码编辑器、安全工具和各种渗透测试框架中。它在 NPM 包存储库中每月计算数百万次下载。
VM2 在过去两周内被不同的安全研究人员发现了数次严重的沙盒逃逸漏洞,使攻击者能够在沙盒环境的约束之外运行恶意代码。
两周前,Seongil Wi 发现了第一个被追踪为 CVE-2023-29017 的沙盒逃逸漏洞, SeungHyun Lee 发现了最新的两个漏洞( CVE-2023-29199和 CVE-2023-30547)。
Oxeye 的研究人员 在 2022 年 10 月发现了另一个 被追踪为 CVE-2022-36067 的沙箱逃逸漏洞。
最新的漏洞被追踪为 CVE-2023-30547 (CVSS 评分:9.8 – 严重)并且是一个异常清理漏洞,允许攻击者在“handleException()”中引发未经清理的主机异常。
此功能旨在清理沙箱中捕获的异常,以防止泄漏有关主机的信息。然而,如果攻击者设置了一个自定义的“getPrototypeOf()”代理处理程序来抛出一个未净化的主机异常,“handleException”函数将无法净化它。
这有助于攻击者“访问主机功能”,也就是逃避沙箱限制并在主机上下文中执行任意代码,从而允许进行潜在的重大攻击。
该漏洞由韩国科学技术院 (KAIST) 的安全分析师SeungHyun Lee发现,他发现它会影响 3.9.16 及更早版本的所有库版本。
研究人员还在他的 GitHub 存储库上发布了一个概念验证 (PoC) 漏洞 ,以证明攻击的可行性,该攻击会在主机上创建一个名为“pwned”的文件。
研究人员发布的PoC (GitHub)
建议所有项目包含 VM2 库的用户、包维护人员和软件开发人员尽快升级到 3.9.17 版本,该版本解决了安全漏洞。
Seongil Wi 向 BleepingComputer 证实,Lee 发现的两个漏洞与他发现的那个无关。
不幸的是,影响大多数开源软件项目的供应链复杂性可能会延迟跨受影响工具的 VM2 升级。再加上 PoC 的公开可用性,许多用户可能会长时间暴露在风险中。
国际劳动节又称“五一国际劳动节”“国际示威游行日”(英语:International Workers' Day,May Day),是世界上80多个国家的全国性节日。定在每年的五月一日。它是全世界劳动人民共同拥有的节日," 夏日消费节 ",进一步促进消费,助力实体。。