作者 freeunixer (離自相空她相)
標題 Re: [新聞] 程式語言Rust被挖出CVSS滿分10分的重大漏
時間 Thu Apr 11 04:27:22 2024


※ 引述《wei115 (社畜)》之銘言:
: ithome
: 周峻佑
: 程式語言Rust被挖出CVSS滿分10分的重大漏洞,Windows電腦恐因此面臨命令注入攻擊
: 程式語言Rust的開發團隊指出,Windows版標準程式庫存在危急(Critical)等級漏洞
: CVE-2024-24576,有可能會被攻擊者用於執行任意命令
: 針對這項漏洞發生的原因,開發團隊表示,cmd.exe的運作極為複雜,以致於他們實作時
: ,無法找到可涵蓋各種狀態的轉譯參數正確做法。
: https://www.ithome.com.tw/news/162218

HowLeeHi: 這弱點就是沒有處理好參數,導致參數資料可以被當成command來執行,超級危險36.231.26.203 台灣 04/10 20:28
ronga: 不是windows的問題好嗎....
是Rust的windows版本有漏洞61.228.224.76 台灣 04/10 20:59

這看起來會讓人理解為
用 rust 寫出的 windows 版程式,當它需要傳參給 windows 的 cmd 處理時.
因為沒有 cmd 的 spec,所以沒有辦法正確地做出傳參的對應方式(api模式)


不精確的比喻, rust 可能收到並轉丟了一個 'del c:\*.*' 的字串出去給 cmd,

結果 cmd 收到以後竟然把它當成了指令.
但是 rust 的開發人員又無從得知也無法預先知道
丟了什麼給 cmd 會出現想像不到的結果.因為根本查不到 cmd 這鬼東西的運作邏輯.
也無法用對方式告訴 cmd 'del c:\*.*'只是文字,不是 command...

--
讀者審校網試行版(2018/1/1 更新網址)
http://readerreviewnet.processoroverload.net/
(哲、史、法、政、經、社,人文翻譯書籍錯譯提報網)
◎洪蘭"毀人不倦"舉報專區
http://tinyurl.com/ybfmzwne
讀者需自救,有錯自己改...

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.250.90.238 (臺灣)
※ 作者: freeunixer 2024-04-11 04:27:22
※ 文章代碼(AID): #1c5lOiAI (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1712780844.A.292.html
※ 同主題文章:
Re: [新聞] 程式語言Rust被挖出CVSS滿分10分的重大漏洞,Windows電腦恐因此面臨命令注入攻擊
04-11 04:27 freeunixer
andy199113 
andy199113: 簡單易懂 推1F 118.167.133.164 台灣 04/11 04:32
StylishTrade: 阿不是有AI AI不能判斷惡意與否嗎QQ2F 118.161.197.83 台灣 04/11 04:48
dosiris: 好奇其他語言丟給cmd字串怎麼就不當指令?3F 61.230.34.72 台灣 04/11 04:50
MK47: https://i.imgur.com/lkuu4J5.png4F 36.235.195.28 台灣 04/11 05:52
[圖]
mapleone: cmd原本就不是要讓rust當作API 使用5F 118.166.152.155 台灣 04/11 06:45
whitefox: 'echo Y|del c:\*.*' 自動按Y及enter鍵6F 118.150.192.235 台灣 04/11 07:11
youngglasses: 你的解釋怪怪的,正確的只有因為Rust的開發者搞不清楚cmd的所有命令執行方式,導致下參數給cmd會出現類似sql injection漏洞的bug
又因為給Rust執行帳號權限是系統管理者,所以這個bug做任何事都可以7F 150.117.243.27 台灣 04/11 08:21

--
作者 freeunixer 的最新發文:
點此顯示更多發文記錄