인기 높은 샌드박스 모듈의 취약점...샌드박스 탈출 가능하게 해

요약 : 보안 외신 해커뉴스에 의하면 인기 높은 자바스크립트 샌드박스 모듈인 vm2에서 초고위험도 원격 코드 실행 취약점이 발견됐다고 한다. 이 취약점을 익스플로잇 하면 샌드박스 보호 장치를 우회해 호스트에서 코드를 실행할 수 있게 된다. 취약점에는 CVE-2022-36067이라는 번호가 붙었으며 샌드브레이크(Sandbreak)라는 이름으로도 불린다. CVSS 기준 10점 만점에 10점을 받았을 정도로 위험한 취약점으로 분류됐다. 3.9.11 버전을 통해 패치가 완료됐다.


배경 : vm2는 인기가 높은 노드(Node) 라이브러리다. 활발히 다운로드 되는 소프트웨어로, 일주일에 평균 350만 다운로드 회수를 기록한다. 취약점을 제일 먼저 발견한 건 옥스아이(Oxeye)라는 보안 회사로, 패치는 지난 8월에 완료됐지만 취약점 세부 내용은 공개되지 않았었다. 충분히 패치가 적용되기를 기다렸다가 두어 달이 지난 오늘 발표했다.

말말말 : “vm2는 대단히 많은 애플리케이션에 적용되는 오픈소스 라이브러리입니다. 여기서 발견된 취약점 하나가 거대한 파문을 일으킬 수 있습니다. 이제부터 개발자들은 vm2 최신 버전을 확인하고 사용해야 안전할 것입니다.” -옥스아이-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>