作者 wei115 (社畜)
標題 [新聞] 程式語言Rust被挖出CVSS滿分10分的重大漏
時間 Wed Apr 10 19:48:40 2024


1.媒體來源:
ithome

2.記者署名:
周峻佑

3.完整新聞標題:
程式語言Rust被挖出CVSS滿分10分的重大漏洞,Windows電腦恐因此面臨命令注入攻擊


4.完整新聞內文:
程式語言Rust的開發團隊指出,Windows版標準程式庫存在危急(Critical)等級漏洞
CVE-2024-24576,有可能會被攻擊者用於執行任意命令
https://i.imgur.com/KeozGJr.png
[圖]

4月9日Rust安全事件回應工作群組表示,他們接獲通報,Rust語言的標準程式庫在
Windows環境執行時,具有重大漏洞,當這個元件利用名為command的API處理BAT或CMD批
次檔時,會出現無法正確轉譯參數的情況。攻擊者有機會藉由控制參數的方式,繞過轉譯
流程而能任意執行各種Shell命令。


開發團隊指出,此弱點為危急(Critical)等級,並登記為CVE-2024-24576列管,他們推
出1.77.2版Rust予以修補。而對於該漏洞的危險程度,程式碼儲存庫GitHub將其CVSS風險
評為10分。


針對這項漏洞發生的原因,開發團隊表示,cmd.exe的運作極為複雜,以致於他們實作時
,無法找到可涵蓋各種狀態的轉譯參數正確做法。

為了確保API的正常運作,該團隊在新版Rust強化了轉譯程式碼的穩健性,並調整
command API的運作,若是無法安全轉譯參數,將會回傳InvalidInput的錯誤訊息。

5.完整新聞連結 (或短網址)不可用YAHOO、LINE、MSN等轉載媒體:
https://www.ithome.com.tw/news/162218
程式語言Rust被挖出CVSS滿分10分的重大漏洞,Windows電腦恐因此面臨命令注入攻擊 | iThome
[圖]
程式語言Rust的開發團隊指出,Windows版標準程式庫存在危急(Critical)等級漏洞CVE-2024-24576,有可能會被攻擊者用於執行任意命令 ...

 

6.備註:

R門

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.134.21.189 (臺灣)
※ 作者: wei115 2024-04-10 19:48:40
※ 文章代碼(AID): #1c5doRas (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1712749723.A.936.html
※ 同主題文章:
[新聞] 程式語言Rust被挖出CVSS滿分10分的重大漏洞,Windows電腦恐因此面臨命令注入攻擊
04-10 19:48 wei115
renna038766: 誰還在用window1F 59.115.163.108 台灣 04/10 19:49
wuyiulin: 在 WinDev RUST 的是少數,穩。2F 111.83.226.221 台灣 04/10 19:49
link4517: 回樓上 90%各大公司3F 42.70.207.132 台灣 04/10 19:50
fallinlove15: 拿滿分不好嗎4F 49.159.72.46 台灣 04/10 19:50
JamesForrest: 這麼high?5F 111.240.11.225 台灣 04/10 19:50
g5637128: 還是C++比較安全6F 125.228.206.229 台灣 04/10 19:50
wuyiulin: 三樓你在哪間用 WinDev RUST?7F 111.83.226.221 台灣 04/10 19:51
ab4daa: 無罪8F 114.42.37.168 台灣 04/10 19:51
orze04: C:也沒多安全嘛^_^9F 42.77.187.0 台灣 04/10 19:52
joshddd: 笑死 還要取代c++10F 101.9.97.121 台灣 04/10 19:58
iLeyaSin365: 嗯嗯跟我想的一樣 ... 沒有啦 Rust11F 111.82.3.230 台灣 04/10 19:58

--
作者 wei115 的最新發文:
點此顯示更多發文記錄