Ladybird වෙබ් බ්රව්සරයේ භාවිතා කරන LibJS JavaScript එන්ජිමෙහි අවදානමක් (CVE-2025-47154) හඳුනාගෙන ඇති අතර, එමඟින් විශේෂයෙන් ආකෘතිගත කරන ලද JavaScript කේතය සැකසීමේදී පද්ධතිය තුළ අභිරුචි කේතය ක්රියාත්මක කිරීමට ඉඩ සලසයි. m_argument_values_buffer දෛශිකයේ මතකය නිදහස් වීම නිසා අවදානම ඇති වන අතර, ඒ සඳහා දර්ශකයක් arguments_list ව්යුහය තුළ පැවතුනි, එමඟින් දැනටමත් නිදහස් කර ඇති මතක ප්රදේශයකට ප්රවේශ විය. සූරාකෑමේ ක්රියාකාරී මූලාකෘතියක් තිබේ.
ගැටලුව හඳුනාගත් පර්යේෂකයා LibJS හි ව්යාකූල පරීක්ෂණ සිදු කළ අතර, එහි ප්රතිඵලයක් ලෙස බිඳ වැටීම් 10 ක් සිදුවිය. එක් බිඳවැටීමක් විශ්ලේෂණය කිරීමෙන් පෙන්නුම් කළේ ජාවාස්ක්රිප්ට් කේතය සැකසීමේදී ගැටළුව ප්රයෝජනයට ගත හැකි බවයි. මෙම අවදානම ක්රියාවලි මතකයේ අත්තනෝමතික ප්රදේශවලට කියවීමට සහ ලිවීමට ඉඩ සැලසීය. විදැහුම්කරණ ශ්රිතයෙන් ආපසු එන දර්ශකය ප්රතිස්ථාපනය කිරීමෙන් සූරාකෑමේදී කේත ක්රියාත්මක කිරීම සංවිධානය කරන ලදී. Return-Oriented Programming (ROP, exploit එක සෑදී ඇත්තේ return instruction එකකින් අවසන් වන පවතින යන්ත්ර උපදෙස් කොටස් වලින්) භාවිතා කර, බාහිර යෙදුමක් දියත් කිරීම සඳහා execve පද්ධති ඇමතුම ක්රියාත්මක කිරීම සඳහා දාමයක් සාදන ලදී.
ලේඩිබර්ඩ් බ්රව්සරය සංවර්ධනය කරනු ලබන්නේ ඇන්ඩ්රියාස් ක්ලින් විසිනි, ඔහු කලක් නොකියා හි සේවය කර KHTML සංවර්ධනය කළ අතර පසුව ඇපල් හි සෆාරි සංවර්ධකයින්ගෙන් කෙනෙකු විය. වත්මන් සංවර්ධන අවධියේදී, ලේඩිබර්ඩ් පූර්ව-ඇල්ෆා අවධියේ පවතින අතර, සංවර්ධකයින්ට පමණක් භාවිතා කිරීමට සුදුසුය. මෙම ව්යාපෘතිය මුලින් SerenityOS මෙහෙයුම් පද්ධතිය සඳහා යෙදුමක් ලෙස නිර්මාණය කරන ලද නමුත් පසුගිය ගිම්හානයේදී එය වෙනම ව්යාපෘතියකට බෙදා ඩොලර් මිලියනයක පරිත්යාගයක් ලබා ගන්නා ලදී. බ්රවුසරය C++ වලින් ලියා ඇත (එය Swift වෙත මාරු වීමට තීරණය කරන ලදී) සහ BSD බලපත්රය යටතේ බෙදා හරිනු ලැබේ. මෙම ව්යාපෘතිය තමන්ගේම LibWeb එන්ජිම, LibJS JavaScript පරිවර්තකය සහ අදාළ පුස්තකාල සංවර්ධනය කරයි.
මූලාශ්රය: opennet.ru
