Hola VPN – Ihr Website-Entblocker
Hola VPN ist der einfachste Weg zum grenzenlosen Internet und ermöglicht Ihnen den Zugriff auf die gewünschten globalen Online-Inhalte!
7.1 / 10
Hohes Risiko
Für Erweiterungsversion 1.253.755
Letzte VersionUnderscore.js ist eine Hilfsbibliothek für JavaScript. Vor Version 1.13.8 verwendeten die Funktionen `_.flatten` und `_.isEqual` Rekursion ohne Tiefenbegrenzung. Unter bestimmten, im Folgenden beschriebenen Bedingungen konnte ein Angreifer dies für einen Denial-of-Service-Angriff (DoS) ausnutzen, indem er einen Stack-Overflow auslöste. Dazu müssen nicht vertrauenswürdige Eingaben verwendet werden, um eine rekursive Datenstruktur zu erstellen, beispielsweise mit `JSON.parse`, ohne erzwungene Tiefenbegrenzung. Die so erstellte Datenstruktur muss dann an `_.flatten` oder `_.isEqual` übergeben werden. Im Fall von `_.flatten` kann die Schwachstelle nur ausgenutzt werden, wenn ein entfernter Client eine Datenstruktur erstellen kann, die auf allen Ebenen aus Arrays besteht UND wenn keine endliche Tiefenbegrenzung als zweites Argument an `_.flatten` übergeben wird. Im Fall von `_.isEqual` kann die Schwachstelle nur ausgenutzt werden, wenn ein Codepfad existiert, in dem zwei unterschiedliche, vom selben entfernten Client übermittelte Datenstrukturen mit `_.isEqual` verglichen werden. Wenn beispielsweise ein Client Daten an eine Datenbank sendet und später eine weitere Datenstruktur sendet, die mit den zuvor gespeicherten Daten verglichen wird, oder wenn ein Client eine einzelne Anfrage sendet, dessen Daten aber zweimal analysiert werden, wodurch zwei nicht identische, aber äquivalente Datenstrukturen entstehen, die anschließend verglichen werden, werden Ausnahmen, die durch einen Stack-Overflow beim Aufruf von `_.flatten` oder `_.isEqual` entstehen, nicht abgefangen. Diese Sicherheitslücke wurde in Version 1.13.8 behoben.
Verhaltenserkennung
Schalten Sie die vollständige MITRE ATT&CK-Matrix frei
Datenschutzbestimmungen
Datenschutzrichtlinien-Risikobewertung freischalten