Datenschutz & Sicherheit

Node.js: Abermals Ausbruch aus vm2-Sandbox möglich


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die vm2-Sandbox ist im Kontext von Node.js-Umgebungen erneut löchrig und Angreifer können Schadcode ins Hostsystem schieben und ausführen. Admins sollten das Sicherheitsupdate zeitnah installieren.

Weiterlesen nach der Anzeige

Sandbox repariert

Wie aus einer Warnmeldung auf GitHub hervorgeht, hat die „kritische“ Lücke bislang noch keine CVE-Nummer bekommen. Aufgrund eines Fehlers können sich Angreifer eines Ereignisses aus dem Hostsystem bemächtigen und innerhalb der Sandbox die Kontrolle über einen Host-Prozess erlangen. Auf diesem Weg kann Schadcode ins Hostsystem gelangen. Wie eine Attacke konkret ablaufen könnte, ist bislang nicht bekannt. Auf der genannten GitHub-Website ist Proof-of-Concept-Code verfügbar. Die Entwickler versichern, die Schwachstelle in vm2 3.11.3 geschlossen zu haben.

Erst kürzlich sorgte eine Sandbox-Lücke in Node.js 25 für Schlagzeilen.

Siehe auch:

  • Node.js: Download schnell und sicher von heise.de


(des)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen