Node.js Project ได้ออกอัปเดตความปลอดภัยสำคัญในหลายเวอร์ชัน เพื่อแก้ไขช่องโหว่ระดับ Critical 2 รายการ ซึ่งส่งผลกระทบต่อแอปพลิเคชันบน Windows และการทำงานของ V8 engine
ดดยปัจจุบันมีการปล่อยแพตช์สำหรับ Node.
ช่องโหว่บน Node.js ทำให้ Window App เสี่ยงต่อการโจมตีแบบ Path Traversal และ HashDoS
แจ้งเตือนช่องโหว่ Code injection ในไลบรารี Node.js “systeminformation”
นักพัฒนาของไลบรารี Node.js "systeminformation" ได้มีการเผยแพร่เวอร์ชันของไลบรารีดังกล่าวหลังจากมีการตรวจพบช่องโหว่ Command injection ในตัวไลบรารีซึ่งปัจจุบันถูกติดตามด้วยรหัส CVE-2021-21315 ความน่ากังวลของสถานการณ์ดังกล่าวนั้นอยู่ที่ความนิยมของไลบรารีนี้ที่มียอดดาวน์โหลดรายสัปดาห์สูงถึง 800,000 ครั้ง ซึ่งหลังจากมีการเปิดเผยการแพตช์ไป อาจทำให้เกิดการโจมตีที่สร้างผลกระทบเป็นวงกว้างได้
ไลบรารี systeminformation เป็นไลบรารีใน Node.
Nodejs : DOS security vulnerability, October 2017
Node.js ประกาศอัพเดทแพทซ์ ช่องโหว่ CVE-2017-14919 มีความเสี่ยงที่จะถูก Remote DoS Attack ได้
Node.js ประกาศแพตช์สำหรับช่องโหว่ล่าสุดที่รหัส CVE-2017-14919 โดยผลลัพธ์ของช่องโหว่นี้นั้นอาจทำให้ผู้โจมตีสามารถโจมตีแบบ DoS attack ส่งผลให้ระบบไม่สามารถให้บริการได้ได้
ช่องโหว่นี้อยู่ไลบรารีบีบอัดข้อมูล zlib ซึ่งมีการอัพเดตเป็นเวอร์ชันล่าสุด โดยเป็นผลมาจากการตั้งค่าปริมาณของข้อมูลที่อยู่ในหน่วยความจำเมื่อไลบรารีพยายามบีบอัดข้อมูลที่ไม่ถูกต้อง ซึ่งส่งผลให้เกิดการใช้งานหน่วยความจำที่สูงขึ้นเรื่อยๆ ได้จนระบบไม่มีหน่วยความจำที่เพียงพอสำหรับให้บริการในที่สุด
ผู้ใช้งานสามารถทำการเปลี่ยนการตั้งค่าดังกล่าวได้เองโดยตรวจสอบเพิ่มเติมจากแหล่งที่มา หรือจะทำการดาวโหลดเวอร์ชันที่มีการแก้ไขช่องโหว่แล้วก็ได้ โดยสำหรับเวอร์ชั่นที่ทำการแก้ไขช่องโหว่แล้วมีดังนี้
Node.
Trend Micro password manager had remote command execution holes and dumped data to anyone
Tavis Ormandy จาก Google Project Zero พบช่องโหว่ Remote Code Execution ในคอมโพเน้นท์ Password Manager ที่ถูกติดตั้งมากับ TrendMicro Antivirus บน Windows โดย default.