Viimeaikainen CVE-2024-24576-haavoittuvuus Rustissa voi auttaa suorittamaan luvattomia komentoja

Mielenkiintoista on, että Microsoft integroi Rustin MS365:n Substrate App Platformiin vähän aikaa sitten

Koti » Uutta

Lukuajan kuvake 2 min. lukea

Kalenterikuvake Julkaistu

by Rafly Gilang 

Julkaistu

Jaa tämä artikkeli

Lukijat auttavat tukemaan MSpoweruseria. Saatamme saada palkkion, jos ostat linkkien kautta. Työkaluvihje-kuvake

Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää

Keskeiset huomautukset

  • Rust löysi kriittisen tietoturvavirheen, joka salli luvattomat komentotulkkikomennot, korjattu versiossa 1.77.2.
  • Cmd.exe:n monimutkaisuuden vuoksi idioottivarma argumenttien poistaminen oli haastavaa.
  • Päivitetty Command API ja otettu käyttöön CommandExt::raw_arg Windows-käyttäjille.

Rust, suosittu ohjelmointikieli, on juuri ilmoitti äskettäin että se on havainnut vakiokirjastossa tietoturvavirheen, jonka vuoksi hyökkääjät voivat suorittaa luvattomia komentotulkkikomentoja. 

Haavoittuvuus, joka on merkitty nimellä CVE-2024-24576, poistuu Rust-versiosta 1.77.2, kuten ilmoitettiin.

"Tämän haavoittuvuuden vakavuus on kriittinen, jos kutsut erätiedostoja Windowsissa epäluotettavilla argumenteilla. Tämä ei vaikuta mihinkään muuhun alustaan ​​tai käyttöön", tiedotteessa sanotaan.

Rust-tiimi selitti, että koska cmd.exe on monimutkainen Windowsissa, koska argumentteja käsitellään erityisesti erätiedostojen kanssa, he eivät löytäneet idioottivarmaa tapaa välttää väitteitä kaikissa tilanteissa.

"Useimmat ohjelmat käyttävät standardia C-ajonaikaista argv:tä, mikä käytännössä johtaa enimmäkseen johdonmukaiseen tapaan, jolla argumentit jaetaan", tiimi lisää.

Luotettavuuden ylläpitämiseksi he päivittivät pakokoodin ja saivat Command API:n antamaan InvalidInput-virheen, jos se ei voi turvallisesti välttää argumenttia, joka ilmenee prosessia käynnistettäessä.

Jos käsittelet luotettuja syötteitä tai haluat tehdä oman pakotuksen, voit kokeilla vaihtoehtoista menetelmää nimeltä CommandExt::raw_arg Windowsissa.  

Mielenkiintoista on, että Microsoft on työskennellyt Rustin käyttöönottamiseksi. Vähän aikaa sitten raportoimme, että Redmond-yhtiö on omaksumassa kielen MS365:n Substrate App Platformiin, palkata uusia ihmisiä liittyä uuteen tiimiin tätä varten. 

Rafly Gilang

Rafly Gilang Shield

Tekninen toimittaja

Rafly on toimittaja, jolla on vuosien journalistinen kokemus teknologiasta, liiketoiminnasta, sosiaalisesta ja kulttuurista. Raportoi tällä hetkellä uutisia Microsoftiin liittyvistä tuotteista, tekniikasta ja tekoälystä Windows Reportissa ja MSPowerUserissa. Onko sinulla vinkkiä? Lähetä se [sähköposti suojattu].