Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Kritik VM2 kusuru, saldırganların korumalı alanın dışında kod çalıştırmasını sağlar


Korumalı alanda çalışan kötü amaçlı kod

Araştırmacılar, NPM paket deposu aracılığıyla ayda 16 milyondan fazla indirilen bir JavaScript sanal alan kitaplığı olan ‘vm2’de kritik bir uzaktan kod yürütme kusuru konusunda uyarıyorlar.

vm2 güvenlik açığı CVE-2022-36067 olarak izleniyor ve saldırganların sanal alan ortamından kaçmasına ve bir ana bilgisayar sisteminde komut çalıştırmasına izin verebileceğinden, CVSS sistemindeki maksimum puan olan 10.0 önem derecesini aldı.

Korumalı alanlar, işletim sisteminin geri kalanından duvarlarla çevrili yalıtılmış bir ortamdır. Bununla birlikte, geliştiriciler genellikle güvenli olmayan kodları çalıştırmak veya test etmek için sanal alanları kullandığından, bu sınırlı ortamdan “kaçma” ve ana bilgisayarda kod yürütme yeteneği büyük bir güvenlik sorunudur.

Kum havuzundan kaçış

Oxeye’daki güvenlik araştırmacıları, sanal alanın dışında oluşturulan “CallSite” nesnelerini oluşturmak ve bunları Node’un global nesnelerine erişmek ve komutları yürütmek için kullanmak için VM2’de oluşan bir hatanın çağrı yığınını özelleştirmenin akıllı bir yolunu buldular.

Kütüphanenin yazarları geçmişte bu olasılığı azaltmaya çalışırken, Oxeye araştırmacıları “prepareStackTrace” yönteminin özel bir uygulamasını kullanarak bu azaltma mekanizmasını atlamanın bir yolunu buldular.

Araştırmacılar, “Muhabirin POC’si, vm2’nin “WeakMap” JavaScript yerleşik türüyle ilgili belirli yöntemleri kaydırmayı kaçırdığı için yukarıdaki mantığı atladı” dedi. onların raporunda.

“Bu, saldırganın kendi “prepareStackTrace” uygulamasını sağlamasına, ardından bir hatayı tetiklemesine ve sanal alandan kaçmasına izin verdi.”

Sandbox kaçış süreci
Sandbox kaçış süreci
(Okseye)

Analistler, “prepareStackTrace” işlevini uygulayan, yine sandbox dışında oluşturulan “CallSite” nesnelerine erişen ve mevcut süreçte komutları çalıştıran özel bir nesneyle global Error nesnesini geçersiz kılmanın da mümkün olduğunu buldu.

Error nesnesini geçersiz kılmak ve bir hata oluşturmak
Error nesnesini geçersiz kılma ve CallSite nesnelerine erişme (Okseye)

En kısa sürede güncelleyin

Oxeye’nin araştırma ekibi bu kritik sorunu 16 Ağustos 2022’de keşfetti ve birkaç gün sonra VM2 ekibine bildirdi ve VM2 ekibi, bir soruşturma başlattıklarını doğruladı.

Sonunda, popüler kitaplığın yazarları, 28 Ağustos 2022’de korumalı alandan kaçış ve kod yürütme sorunlarını ele alan 3.9.11 sürümünü yayınladı.

Yazılım geliştiricilerin en son VM2 sürümüne güncelleme yapmaları ve projelerindeki eski sürümleri mümkün olan en kısa sürede değiştirmeleri istenmektedir.

Son kullanıcılar için, VM2’ye dayanan sanallaştırma yazılım araçlarının mevcut güvenlik güncellemesini uygulaması biraz zaman alabilir.

ile gördüğümüz gibi Log4Shellyaygın olarak dağıtılan bir açık kaynak kitaplığındaki kritik bir güvenlik sorunu, etkilenen kullanıcılar tedarik zincirindeki belirsizlik nedeniyle savunmasız olduklarını bile bilmeden uzun süreler boyunca devam edebilir.

Bir korumalı alan çözümü kullanıyorsanız, bunun VM2’ye dayanıp dayanmadığını ve en son sürümü kullanıp kullanmadığını kontrol edin.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.