تم توفير جولة جديدة من التصحيحات لمكتبة جافا سكريبت vm2 لمعالجة عيبين هامين يمكن استغلالهما لكسر حماية وضع الحماية وتحقيق تنفيذ التعليمات البرمجية.
تم تصنيف كل من العيوب - CVE-2023-29199 و CVE-2023-30547 - 9.8 من 10 في نظام تسجيل CVSS وتمت معالجتها في الإصدارين 3.9.16 و 3.9.17 على التوالي.
الاستغلال الناجح للأخطاء ، والذي يسمح للمهاجم بإثارة استثناء مضيف غير معتمد ، يمكن استخدامه كسلاح للهروب من وضع الحماية وتشغيل تعليمات برمجية عشوائية في سياق المضيف .
قال المشرفون على مكتبة vm2 في تنبيه: "يمكن لممثل التهديد تجاوز حماية آلية الحماية للحصول على حقوق تنفيذ التعليمات البرمجية عن بُعد على المضيف الذي يقوم بتشغيل صندوق الحماية".
يُعزى الفضل في اكتشاف الثغرات الأمنية والإبلاغ عنها إلى الباحث الأمني SeungHyun Lee ، الذي أصدر أيضًا ثغرات إثبات المفهوم (PoC) للمسألتين المعنيتين.
يأتي الكشف بعد أكثر من أسبوع بقليل من معالجة vm2 لعيب هروب آخر في وضع الحماية ( CVE-2023-29017 ، درجة CVSS: 9.8) والذي قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية على النظام الأساسي.
تجدر الإشارة إلى أن الباحثين من Oxeye قاموا بتفصيل ثغرة أمنية حرجة في تنفيذ التعليمات البرمجية عن بُعد في vm2 أواخر العام الماضي ( CVE-2022-36067 ، درجة CVSS: 9.8) والتي أطلق عليها الاسم الرمزي Sandbreak.