IT之家 4 月 10 日消息,Rust 的優勢之一就是安全,但這并不代表該編程語言就沒有漏洞。安全專家近日發現了追蹤編號為 CVE-2024-24576 的漏洞,攻擊者利用 Rust 標準庫中的一個安全漏洞,對 windows 系統進行命令注入攻擊。
該漏洞是由于操作系統命令和參數注入缺陷造成的,攻擊者可在操作系統上執行意外的、潛在的惡意命令。
該漏洞的 CVSS 基本嚴重評分為 10/10,未經身份驗證的攻擊者可以在不需要用戶交互的情況下,在低復雜度攻擊中遠程利用該漏洞。
Rust 安全響應工作組隨后發布安全公告:
在 Windows 上使用命令 API 調用批處理文件(帶有 bat 和 cmd 擴展名)時,Rust 標準庫沒有正確轉義參數。
攻擊者可以控制傳遞到生成進程的參數,可繞過轉義執行任意 shell 命令,在 Windows 上調用批處理文件時使用的是不可信任的參數,因此該漏洞是個非常高危的漏洞。
IT之家查詢公開資料,Rust 團隊今天發布了 1.77.2 標準庫安全補丁,修復了存在于 Windows 系統上的問題,并表示其它平臺或者用途不受影響。
