Emendationes updates Wasmtime 6.0.1, 5.0.1 et 4.0.1 vulnerabilitatem (CVE-2023-26489) firmaverunt, quae gradu periculoso discrimine assignata est. Permittit vulnerabilitas notitias ad memoriam scribendam extra fines extra fines permissos in codice WebAssembly remoto, qui potentia ab oppugnatore adhiberi potest ut suum codicem extra WASI ambitus separatim exsequi possit.
Wasmtime tempus est runtime ad applicationes WebAssembly currentes cum WASI (WebAssembly System Interface) extensiones ut stant solae applicationes regulares. Instrumentum in Rust lingua scriptum est, et vulnerabilitas ex errore logico causatur in definiendis memoriae linearibus tradendis regulas in codice generantis Cranelift, quae repraesentationem intermediam independentem de ferramentis architecturae in architectura exsecutabili codicem x86_64 vertit.
Praesertim pro applicationibus WebAssembly, 35-bit inscriptiones efficaces computatae sunt pro 33-frenum inscriptionum in WebAssembly concessae, quae modum virtualis memoriae movit ut operationes legere et scribere ad 34 GB liceat, dum in arenis ambitus uncinis praesidium praebent. VI GB basis inscriptionis a. Quam ob rem eminus virtualis memoria ab 6 ad 6 GB e basi inscriptionis in promptu erat ad legendi scribendique applicationes a WebAssembly. Haec memoria potest alias res WebAssembly ambitus vel WebAssembly runtime componi exercitum.
Si versionem Wasmtime renovare non potest, cuius operis error claudendi est denotare "Mando::static_memory_maximum_size(0)" optionem ut per omnes accessiones memoriae lineares fines separatos coerceatur (proventus in poena insignis effectus) . Alia optio est utendi "Mando::static_memory_guard_size(1 < 36)" ponere ad augendum numerum Paginae custodiae (exceptio obiecto accessu) posita in range problematica virtualis memoriae (unde in magna copia memoriae virtualis reservando et limitando numerum applicationes WebAssembly simul currentes).
Source: opennet.ru