Exploit-Code: Schadcode könnte aus JavaScript-Sandbox vm2 ausbrechen
Die populäre vm2-Sandbox hat eine kritische Sicherheitslücke und Exploit-Code ist bereits im Umlauf.
![](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/4/1/2/9/5/4/9/shutterstock_1504494320-c98e312e9a669c82.jpeg)
(Bild: Artur Szczybylo/Shutterstock.com)
Angreifer könnten zeitnah Systeme mit der JavaScript-Sandbox vm2 attackieren und mit Schadcode aus der Sandbox ausbrechen. Als Basis dafür könnte jüngst veröffentlichter Exploit-Code dienen.
Mit der vm2-Bibliothek führen Entwickler nicht vertrauenswürdigen Code abgeschottet auf einem Node.js-Server aus. Die vm2-Sandbox ist weit verbreitet und wird monatlich millionenfach aus dem NPM-Repository heruntergeladen.
Ausbruch ins Host-System
Die „kritische“ Sicherheitslücke (CVE-2023-29017) ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Wie aus einer Warnmeldung hervorgeht, kommt es bei der Verarbeitung von Hoste-Objekten im Kontext der Funktion Error.prepareStackTrace
zu Fehlern, sodass Angreifer aus der Sandbox ausbrechen können. Im Anschluss könnten sie eigenen Code im Host-System ausführen und so den Computer vollständig kompromittieren.
Die Entwickler geben an, die Lücke in der vm2-Version 3.9.15 geschlossen zu haben. Alle vorigen Ausgaben sollen verwundbar sein.
Mittlerweile ist Version 3.9.17 erschienen, in der die Entwickler eine weitere "kritische" Sicherheitslücke (CVE-2023-30547) geschlossen haben.
(des)