La recente vulnerabilità CVE-2024-24576 su Rust potrebbe aiutare a eseguire comandi non autorizzati

Rust, il popolare linguaggio di programmazione, ha appena ha recentemente annunciato che è stata rilevata una falla di sicurezza nella libreria standard che potrebbe consentire agli aggressori di eseguire comandi shell non autorizzati. 

La vulnerabilità, contrassegnata come CVE-2024-24576, scomparirà nella versione 1.77.2 di Rust, come annunciato.

“La gravità di questa vulnerabilità è critica se si richiamano file batch su Windows con argomenti non attendibili. Nessun’altra piattaforma o utilizzo sarà interessato”, si legge nell’annuncio.

Il team di Rust ha spiegato che, poiché cmd.exe è complicato su Windows a causa del modo in cui vengono gestiti gli argomenti, specialmente con i file batch, non sono riusciti a trovare un modo infallibile per sfuggire agli argomenti in tutte le situazioni.

"La maggior parte dei programmi utilizza l'argv runtime C standard, che in pratica si traduce in un modo per lo più coerente di suddividere gli argomenti", aggiunge il team.

Per mantenere l'affidabilità, hanno aggiornato il codice di escape e hanno fatto in modo che l'API di comando emettesse un errore InvalidInput se non riesce a eseguire l'escape in modo sicuro di un argomento, cosa che si verifica all'avvio del processo.

Se stai gestendo input attendibili o vuoi eseguire la tua fuga, c'è un metodo alternativo chiamato CommandExt::raw_arg su Windows che puoi provare.  

È interessante notare che Microsoft ha lavorato per adottare Rust. Poco fa, abbiamo riferito che l'azienda di Redmond sta adottando il linguaggio nella piattaforma app Substrate di MS365, assumere nuove persone per unirsi a una nuova squadra per questo.