#news В библиотеке vm2 для запуска JavaScript-кода в песочнице раскрыли уязвимости на побег из неё. А чтобы не было скучно, их в этот раз сразу дюжина, хороших и разных. И все критические.
Среди них три десяточки по CVSS, остальные тоже не отстают — большая часть на 9.8 баллов. Несколько обходов предыдущих патчей, edge-кейсы и прочее сопутствующее сизифову труду по обеспечению безопасности песочницы под JavaScript. Всё это с проверками концепции под все опубликованные CVE, чтобы уж никому не казалось, что разраб с вами шутки шутить будет. Патчи под прошлую критическую уязвимость в vm2 вышли в январе, в этот раз у неё большая компания, но суть остаётся прежней — не пытайтесь сэндбоксить JavaScript. Впрочем, выбора у юзеров особо нет, так что придётся грызть кактус дальше и накатывать исправления.
