SES - это среда JavaScript, которая позволяет безопасно выполнять произвольные программы в Compartments. В версии 0.18.0 до 0.18.7, 0.17.0 до 0.17.1, 0.16.0 до 0.16.1, 0.15.0 до 0.15.24, 0.14.0 до 0.14.5, и 0.13.0 до 0.13.5 существует дыра в ограничении гостевых приложений в SES, которая может проявляться либо как возможность эксфильтрации информации, либо как выполнение произвольного кода в зависимости от конфигурации и реализации окружающего хоста. Гостевая программа, работающая внутри Compartment, даже без каких-либо прав, может получить доступ к динамическому импорту окружающего хоста, используя динамический импорт после оператора распространения, например {...import(arbitraryModuleSpecifier)}. В Интернете или в веб-расширениях Content-Security-Policy, следующая обычным передовым практикам, вероятно, смягчает как риск эксфильтрации, так и выполнения произвольного кода, по крайней мере, ограничивая модули, которые злоумышленник может импортировать, теми, которые уже являются частью приложения. Однако без Content-Security-Policy динамический импорт можно использовать для выдачи HTTP-запросов либо для связи через URL, либо для выполнения кода, доступного из этого источника. Внутри XS worker злоумышленник может использовать систему модулей хоста в той степени, в которой хост был настроен. Обычно это позволяет получить доступ только к коду модуля в файловой системе хоста и имеет ограниченную пользу для злоумышленника. Внутри Node.js злоумышленник получает доступ к системе модулей Node.js. Импорт мощных встроенных функций бесполезен, за исключением тех случаев, когда есть побочные эффекты, и смягчается тем, что динамический импорт возвращает обещание. Распространение обещания в объект делает обещания бесполезными. Однако Node.js позволяет импортировать URL-адреса данных, поэтому это явный путь к произвольному выполнению. Версии 0.18.7, 0.17.1, 0.16.1, 0.15.24, 0.14.5 и 0.13.5 содержат исправление для этой проблемы. Доступны некоторые обходные пути. В Интернете предоставление надлежащим образом ограниченного Content-Security-Policy смягчает большую часть угрозы. С XS создание двоичного файла, в котором отсутствует возможность загрузки модулей во время выполнения, смягчает всю угрозу. Это будет выглядеть как реализация fxFindModule в файле, подобном xsPlatform.c, который вызывает fxRejectModuleFile.