CVE-2024-43357 in ECMA-262info

Zusammenfassung

von VulDB • 14.06.2026

ECMA-262 ist die Spezifikation für die Skriptsprache ECMAScript. Ein Problem in der ECMAScript-(JavaScript-)Spezifikation zu asynchronen Generatoren, das durch einen Refaktorierungsprozess im Mai 2021 eingeführt wurde, kann zu einer fehlerhaften Implementierung führen, die sich als Sicherheitslücke äußern könnte, beispielsweise durch Typverwechslung (Type Confusion) und Dereferenzieren von Zeigern.

Die interne Mechanik des asynchronen Generators ruft reguläre Promise-Resolver-Funktionen für IteratorResult-{`{ done, value }`} Objekte auf, die sie erstellt, unter der Annahme, dass diese IteratorResult-Objekte nicht „then-bar“ sind (also keine thenable-Schnittstelle implementieren). Diese IteratorResult-Objekte erben jedoch von `Object.prototype`, sodass sie dannbar gemacht werden können. Dies löst beliebiges Verhalten aus, einschließlich des erneuten Eintritts in die asynchrone Generator-Mechanik auf eine Weise, die einige interne Invarianten verletzt.

Die ECMAScript-Spezifikation ist ein lebender Standard (Living Standard), und das Problem wurde zum Zeitpunkt der öffentlichen Offenlegung dieses Hinweises behoben. Implementierer von JavaScript-Engines sollten sich auf die neueste Spezifikation beziehen und ihre Implementierungen aktualisieren, um den Anforderungen des Abschnitts `AsyncGenerator` zu entsprechen.

## Referenzen

- https://github.com/tc39/ecma262/commit/1e24a286d0a327d08e1154926b3ee79820232727 - https://bugzilla.mozilla.org/show_bug.cgi?id=1901411 - https://github.com/boa-dev/boa/security/advisories/GHSA-f67q-wr6w-23jq - https://bugs.webkit.org/show_bug.cgi?id=275407 - https://issues.chromium.org/issues/346692561 - https://www.cve.org/CVERecord?id=CVE-2024-7652

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

09.08.2024

Veröffentlichung

15.08.2024

Moderieren

akzeptiert

Eintrag

VDB-274806

CPE

bereit

EPSS

0.00601

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!