📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um código de exploração de prova de conceito foi publicado para uma falha crítica de execução remota de código em protobuf.js, uma implementação JavaScript amplamente usada dos buffers de protocolo do Google.
A ferramenta é muito popular no registro do Node Package Manager (npm), com uma média de quase 50 milhões de downloads semanais. É usado para comunicação entre serviços, em aplicações em tempo real e para armazenamento eficiente de dados estruturados em bancos de dados e ambientes de nuvem.
Em um relatório divulgado na sexta-feira, a empresa de segurança de aplicativos Endor Labs afirma que a vulnerabilidade de execução remota de código (RCE) em protobuf.js é causada pela geração de código dinâmico inseguro.
O problema de segurança não recebeu um número CVE oficial e atualmente está sendo rastreado como GHSA-xq3m-2v4x-88gg, o identificador atribuído pelo GitHub.
Endor Labs explica que a biblioteca constrói funções JavaScript a partir de esquemas protobuf concatenando strings e executando-as por meio do construtor Function(), mas não consegue validar identificadores derivados de esquema, como nomes de mensagens.
Isso permite que um invasor forneça um esquema malicioso que injeta código arbitrário na função gerada, que é então executada quando o aplicativo processa uma mensagem usando esse esquema.
Isso abre o caminho para o RCE em servidores ou aplicativos que carregam esquemas influenciados por invasores, concedendo acesso a variáveis de ambiente, credenciais, bancos de dados e sistemas internos, e até mesmo permitindo movimentação lateral dentro da infraestrutura.
O ataque também pode afetar as máquinas dos desenvolvedores se elas carregarem e decodificarem esquemas não confiáveis localmente.
A falha afeta as versões 8.0.0/7.5.4 do protobuf.js e inferiores. Endor Labs recomenda a atualização para 8.0.1 e 7.5.5, que resolvem o problema.
O patch limpa nomes de tipos removendo caracteres não alfanuméricos, evitando que o invasor feche a função sintética. No entanto, Endor comenta que uma solução de longo prazo seria interromper o deslocamento de identificadores alcançáveis pelo invasor por meio de Function.
A Endor Labs alerta que “a exploração é direta” e que a prova de conceito (PoC) mínima incluída no comunicado de segurança reflete isso. No entanto, até à data, não foi observada qualquer exploração activa na natureza.
A vulnerabilidade foi relatada pelo pesquisador do Endor Labs e caçador de recompensas de bugs de segurança, Cristian Staicu, em 2 de março, e os mantenedores do protobuf.js lançaram um patch no GitHub em 11 de março. As correções para os pacotes npm foram disponibilizadas em 4 de abril para o branch 8.x e em 15 de abril para o branch 7.x.
Além de atualizar para versões corrigidas, o Endor Labs também recomenda que os administradores de sistema auditem dependências transitivas, tratem o carregamento de esquema como entrada não confiável e prefiram esquemas pré-compilados/estáticos em produção.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
A ferramenta é muito popular no registro do Node Package Manager (npm), com uma média de quase 50 milhões de downloads semanais. É usado para comunicação entre serviços, em aplicações em tempo real e para armazenamento eficiente de dados estruturados em bancos de dados e ambientes de nuvem.
Em um relatório divulgado na sexta-feira, a empresa de segurança de aplicativos Endor Labs afirma que a vulnerabilidade de execução remota de código (RCE) em protobuf.js é causada pela geração de código dinâmico inseguro.
O problema de segurança não recebeu um número CVE oficial e atualmente está sendo rastreado como GHSA-xq3m-2v4x-88gg, o identificador atribuído pelo GitHub.
Endor Labs explica que a biblioteca constrói funções JavaScript a partir de esquemas protobuf concatenando strings e executando-as por meio do construtor Function(), mas não consegue validar identificadores derivados de esquema, como nomes de mensagens.
Isso permite que um invasor forneça um esquema malicioso que injeta código arbitrário na função gerada, que é então executada quando o aplicativo processa uma mensagem usando esse esquema.
Isso abre o caminho para o RCE em servidores ou aplicativos que carregam esquemas influenciados por invasores, concedendo acesso a variáveis de ambiente, credenciais, bancos de dados e sistemas internos, e até mesmo permitindo movimentação lateral dentro da infraestrutura.
O ataque também pode afetar as máquinas dos desenvolvedores se elas carregarem e decodificarem esquemas não confiáveis localmente.
A falha afeta as versões 8.0.0/7.5.4 do protobuf.js e inferiores. Endor Labs recomenda a atualização para 8.0.1 e 7.5.5, que resolvem o problema.
O patch limpa nomes de tipos removendo caracteres não alfanuméricos, evitando que o invasor feche a função sintética. No entanto, Endor comenta que uma solução de longo prazo seria interromper o deslocamento de identificadores alcançáveis pelo invasor por meio de Function.
A Endor Labs alerta que “a exploração é direta” e que a prova de conceito (PoC) mínima incluída no comunicado de segurança reflete isso. No entanto, até à data, não foi observada qualquer exploração activa na natureza.
A vulnerabilidade foi relatada pelo pesquisador do Endor Labs e caçador de recompensas de bugs de segurança, Cristian Staicu, em 2 de março, e os mantenedores do protobuf.js lançaram um patch no GitHub em 11 de março. As correções para os pacotes npm foram disponibilizadas em 4 de abril para o branch 8.x e em 15 de abril para o branch 7.x.
Além de atualizar para versões corrigidas, o Endor Labs também recomenda que os administradores de sistema auditem dependências transitivas, tratem o carregamento de esquema como entrada não confiável e prefiram esquemas pré-compilados/estáticos em produção.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #falha #crítica #na #biblioteca #protobuf #permite #execução #de #código #javascript
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário