JavaScript-Sandbox vm2: Neue kritische Schwachstelle, kein Update mehr

Der Betreiber der JavaScript-Sandbox vm2 hat das Ende des Open-Source-Projekts verkündet. Auf GitHub erklärt der Initiator des Projekts Patrik Simek, dass die Library kritische Security-Probleme enthält und nicht für den produktiven Betrieb tauge. Als Alternative empfiehlt er das ebenfalls quelloffen verfügbare isolated-vm.

Ausbruch aus dem Sandkasten

Kurz zuvor war eine Schwachstelle entdeckt worden, für die es keinen Bugfix gibt. Die Security-Seite des Projekts führt den CVE-Eintrag (Common Vulnerability and Exposures) CVE-2022-36067 mit der Severity-Stufe "Critical" und dem CVSS-Wert (Common Vulnerability Scoring System) 9,8 von 10 auf.

Laut dem CVE-Eintrag lässt sich mit der Accessor Property @@species das Bereinigen (Sanitization) des Promise-Handlers umgehen. Damit kann die Anwendung die Sandbox verlassen und Angreifer können beliebigen Code ausführen. Die Security-Seite des Projekts gibt an, dass ein Proof of Concept am 8. August erscheinen soll.

Eine Schwachstelle zu viel

Die neue Schwachstelle war wohl der Tropfen, der das Fass zum Überlaufen gebracht hat. In den letzten Monaten gab es mehrere kritische Sicherheitslücken in vm2. Dieses Jahr war die Sandbox im April und kurz darauf im Mai erneut betroffen, und bereits Ende 2022 war in vm2 eine Schwachstelle mit dem CVSS-Wert 10 aufgetaucht.

Das aktualisierte Readme auf GitHub erklärt daher das Ende des Projekts. Die wachsende Komplexität von Node.js sei nicht mehr handhabbar. Dabei gehe es nicht um ein einzelnes Problem, sondern die jüngsten Meldungen hätten deutlich gemacht, dass das Projekt langfristig nicht aufrechtzuerhalten sei. Sympathisch selbstironisch ist im Original-Readme das Wort "Securely!" hinter der Beschreibung der Sandbox durchgestrichen.

Simek empfiehlt vm2-Usern, auf isolated-vm umzusteigen. Die JavaScript-Library nutzt das Interface Isolate der JavaScript-Engine V8, um mehrere JavaScript-Umgebungen voneinander isoliert bereitzustellen.

(rme)