Versões do SES anteriores à 0.16.0

O problema diz respeito a uma falha na função harden do Hardened JavaScript, utilizada para compartilhar objetos com segurança entre programas co-locados. Essa falha permite que propriedades com representações numéricas não canônicas permaneçam graváveis após o endurecimento, o que pode levar a ataques de contaminação de API. Isso afeta programas que dependem de harden para impedir modificações e compartilhar instâncias com partes mutuamente suspeitas. Especificamente, instâncias TypedArray endurecidas podem ter propriedades não indexadas que são graváveis, o que pode ser explorado. O número estimado de dispositivos potencialmente afetados não foi fornecido.

Para versões do SES anteriores à 0.16.0, os usuários devem atualizar para a versão 0.16.0 para corrigir este problema.

Como solução alternativa temporária, os usuários podem evitar compartilhar TypedArrays entre programas co-locatários e, em vez disso, criar objetos wrapper que produzam uma visualização somente leitura dos dados subjacentes.

Os usuários devem considerar atenuar coleções compartilhadas para facetas somente leitura ou somente gravação e fechar apenas parte do conteúdo da coleção.