IT之家 4 月 10 日消息,Rust 的優(yōu)勢之一就是安全,但這并不代表該編程語言就沒有漏洞。安全專家近日發(fā)現(xiàn)了追蹤編號為 CVE-2024-24576 的漏洞,攻擊者利用 Rust 標(biāo)準(zhǔn)庫中的一個安全漏洞,對 windows 系統(tǒng)進(jìn)行命令注入攻擊。
該漏洞是由于操作系統(tǒng)命令和參數(shù)注入缺陷造成的,攻擊者可在操作系統(tǒng)上執(zhí)行意外的、潛在的惡意命令。
該漏洞的 CVSS 基本嚴(yán)重評分為 10/10,未經(jīng)身份驗證的攻擊者可以在不需要用戶交互的情況下,在低復(fù)雜度攻擊中遠(yuǎn)程利用該漏洞。
Rust 安全響應(yīng)工作組隨后發(fā)布安全公告:
在 Windows 上使用命令 API 調(diào)用批處理文件(帶有 bat 和 cmd 擴展名)時,Rust 標(biāo)準(zhǔn)庫沒有正確轉(zhuǎn)義參數(shù)。
攻擊者可以控制傳遞到生成進(jìn)程的參數(shù),可繞過轉(zhuǎn)義執(zhí)行任意 shell 命令,在 Windows 上調(diào)用批處理文件時使用的是不可信任的參數(shù),因此該漏洞是個非常高危的漏洞。
IT之家查詢公開資料,Rust 團隊今天發(fā)布了 1.77.2 標(biāo)準(zhǔn)庫安全補丁,修復(fù)了存在于 Windows 系統(tǒng)上的問題,并表示其它平臺或者用途不受影響。
