JavaScript 规范问题可能导致实现中的类型混淆和指针取消引用(CVE-2024-43357)

admin
admin
admin
0
文章
0
评论
2024-08-17 13:46:46 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
JavaScript 规范问题可能导致实现中的类型混淆和指针取消引用(CVE-2024-43357)

CVE编号

CVE-2024-43357

利用情况

暂无

补丁情况

N/A

披露时间

2024-08-16
漏洞描述
ECMA-262是脚本语言ECMAScript的语言规范。在2021年5月的规范重构中引入的ECMAScript(JavaScript)中关于异步生成器的规范问题可能导致误实现,从而可能表现为安全漏洞,例如类型混淆和指针引用。异步生成器的内部机制会对其创建的IteratorResult({done, value})对象调用常规的Promise解析器函数,假设IteratorResult对象不会是then-able的。然而,这些IteratorResult对象继承自Object.prototype,因此这些IteratorResult对象可以被制作成then-able的,触发任意行为,包括以违反某些内部不变性的方式重新进入异步生成器内部机制。ECMAScript规范是一个不断发展的标准,在发布此咨询时已解决了该问题。JavaScript引擎实现者应参考最新的规范,并更新其实现以符合“AsyncGenerator”部分的要求。相关引用如下:一、关于异步生成器问题的GitHub提交链接:<https://github.com/tc39/ecma262/commit/1e24a286d0a327d08e1154926b3ee79820232727>二、Mozilla关于此问题的报告链接:<https://bugzilla.mozilla.org/show_bug.cgi?id=1901411>三、boa-dev关于此安全问题的公告链接:<https://github.com/boa-dev/boa/security/advisories/GHSA-f67q-wr6w-23jq>四、Webkit关于此问题的报告链接:<https://bugs.webkit.org/show_bug.cgi?id=275407>五、Chromium关于此问题的报告链接:<https://issues.chromium.org/issues/346692561>六、与此漏洞相关的CVE编号:CVE-2024-7652。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://bugs.webkit.org/show_bug.cgi?id=275407
https://bugzilla.mozilla.org/show_bug.cgi?id=1901411
https://github.com/boa-dev/boa/security/advisories/GHSA-f67q-wr6w-23jq
https://github.com/tc39/ecma262/commit/1e24a286d0a327d08e1154926b3ee79820232727
https://github.com/tc39/ecma262/commit/4cb5a6980e20be76c648f113c4cc762342172df3
https://github.com/tc39/ecma262/pull/2413
https://github.com/tc39/ecma262/security/advisories/GHSA-g38c-wh3c-5h9r
https://issues.chromium.org/issues/346692561
https://tc39.es/ecma262/
https://www.cve.org/CVERecord?id=CVE-2024-7652
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0