Aptos Move虚拟机中出现首个严重漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

研究人员详述了从驱动Aptos区块链网络中的Move虚拟机中发现的一个严重漏洞，现已修复。

新加坡安全公司 Numen Cyber Labs 在本月初发布write-up表示，该漏洞“可导致Aptos 节点崩溃并引发拒绝服务后果。”

Aptos 是区块链领域的新入局者，在2022年10月17日建立了主网，源自Meta 公司提出的Diem 稳定币支付系统。Meta公司还引入了一个短暂存活的数字钱包Novi。

该网络通过平台不可知论 (platform-agnostic) 编程语言Move 构建。Move 是一个基于Rust的旨在安全的运行时环境（Move虚拟机，MoveVM）中实现并执行智能合约的系统。

该漏洞源自Move语言的验证模块 (“stack_usage_verifier.rs”)，该组件在字节码指令在MoveVM中执行前对其进行验证。具体而言，它和基于栈的Web3编程语言中的整数溢出漏洞有关，可导致不确定的行为直至崩溃。

研究人员表示，“由于该漏洞发生在Move执行模块中，因此对于该链上的节点，如果执行了字节码，则会引发拒绝服务攻击。在严重的情况下，Aptos 网络可被完全阻止，从而引发无可估量的损失，对节点的稳定性造成严重影响。”

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

思科修复严重的虚拟机逃逸漏洞，可使主机遭接管

微软在 Linux 虚拟机偷偷安装Azure App，后修复严重漏洞但Linux虚拟机难以修复

谷歌 Compute Engine 的虚拟机曝0day未修复，可遭接管

微软推出 Project Freta：免费查找云虚拟机上的恶意软件

VMware 软件被曝其史上最严重的信息泄露漏洞之一，影响大量虚拟机和主机

原文链接

https://thehackernews.com/2022/10/critical-flaw-reported-in-move-virtual.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~