Vm2: Sicherheitslücke mit maximaler Kritikalität

11.04.2023
G DATA Blog

Schlimmer wird es nicht: Mit dem Kritikalitätswert von zehn möglichen Punkten rangiert die Sicherheitslücke CVE-2023-29017 ganz oben bei den Schwachstellen des Jahres 2023. Mit ihr können Angreifer aus einer vm2-Sandbox ausbrechen. Funktionierender Exploitcode existiert bereits.

Pünktlich zu den Osterfeiertagen machten Berichte über eine hochkritische Sicherheitslücke in der weit verbreiteten JavaScript Sandbox mit dem Namen „vm2“ die Runde. Durch gezieltes Auslösen eines Fehlers in einer Funktion dieses weit verbreiteten Softwarepakets können Angreifer aus der Umgebung ausbrechen, in der JavaScript normalerweise ausgeführt wird.

Dieser Ausbruch ermöglicht nicht nur den Zugriff auf Bereiche des Betriebssystems, die für den ausgeführten Programmcode normalerweise unsichtbar sind, sondern gibt einem Angreifer auch die Möglichkeit, eigenen Code auf dem System auszuführen. Diese Schwachstelle betrifft alle Versionen, die älter als Version 3.9.15 sind

Es existiert kein Workaround für diese Sicherheitslücke. Der einzige Weg, diese zu beheben, ist die aktuellste Version des Pakets zu installieren, in welcher die Schwachstelle nicht mehr existiert. Diese Version trägt die Versionsnummer 3.9.15.

Sandbox - was ist das?

Sandboxen (engl. „Sandkisten“) sind durch Software generierte virtuelle Umgebungen, in denen Programmcode ausgeführt werden kann. Sie stellen einem Programm gerade genug Funktionen zur Verfügung, dass sie lauffähig sind, schotten das Programm aber hermetisch vom eigentlichen Betriebssystem ab. So lässt sich auch nicht vertrauenswürdiger Code ausführen, ohne Schaden anzurichten. Gerade deshalb ist ein Ausbruch aus einer Sandbox auch so gefährlich.

Update: Neue hochkritische Schwachstelle

Nachdem die vorgenannten Sicherheitslücke bereits gepatcht war, wurden zwei neue hochkritische Schwachstellen gefunden. Die entsprechenden CVE-Nummern lauten CVE-2023-29199 und CVE-2023-30547
In Version 3.9.16 ist zumindest die erstgenannte Schwachstelle CVE-2023-29199 behoben

Tim Berghoff
Security Evangelist

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein