Rust'taki son CVE-2024-24576 güvenlik açığı, yetkisiz komutların çalıştırılmasına yardımcı olabilir

İlginç bir şekilde Microsoft, Rust'ı kısa bir süre önce MS365'in Substrate Uygulama Platformuna entegre etti

Ana Sayfa » Haberler

Okuma zamanı simgesi 2 dk. okuman

Takvim simgesi Yayınlandı

by Rafly Gilang 

yayınlandı

Bu makaleyi paylaş

Okuyucular MSpoweruser'ı desteklemeye yardımcı olur. Bağlantılarımız aracılığıyla satın alırsanız komisyon alabiliriz. Araç İpucu Simgesi

MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla

Önemli notlar

  • Rust, 1.77.2 sürümünde düzeltilen, yetkisiz kabuk komutlarına izin veren kritik bir güvenlik açığı buldu.
  • Cmd.exe'deki karmaşıklıklar nedeniyle kusursuz argümandan kaçmak zordu.
  • Komut API'si yükseltildi ve Windows kullanıcıları için CommandExt::raw_arg kullanıma sunuldu.

Popüler programlama dili Rust, geçenlerde açıkladı Standart kitaplıkta, saldırganların yetkisiz kabuk komutları yürütmesine olanak verebilecek bir güvenlik açığı tespit edildiği belirtildi. 

CVE-2024-24576 olarak işaretlenen güvenlik açığı, duyurulduğu üzere Rust 1.77.2 sürümünde ortadan kaldırılacak.

"Windows'ta toplu dosyaları güvenilmeyen argümanlarla çağırıyorsanız bu güvenlik açığının ciddiyeti kritik öneme sahiptir. Duyuruda, başka hiçbir platform veya kullanım etkilenmeyecektir” ifadeleri yer alıyor.

Rust ekibi, cmd.exe'nin Windows'ta özellikle toplu iş dosyalarında argümanların işlenme şekli nedeniyle karmaşık olması nedeniyle, her durumda argümanlardan kaçmanın kusursuz bir yolunu bulamadıklarını açıkladı.

Ekip, "Çoğu program standart C çalışma zamanı argv'sini kullanıyor ve bu da pratikte argümanların çoğunlukla tutarlı bir şekilde bölünmesiyle sonuçlanıyor" diye ekliyor.

Güvenilirliği korumak için kaçış kodunu yükselttiler ve işlem başlatılırken meydana gelen bir bağımsız değişkenden güvenli bir şekilde kaçamazsa Komut API'sinin bir InvalidInput hatası vermesini sağladılar.

Güvenilir girişlerle uğraşıyorsanız veya kendi çıkış işleminizi yapmak istiyorsanız, Windows'ta deneyebileceğiniz CommandExt::raw_arg adlı alternatif bir yöntem vardır.  

İlginç bir şekilde Microsoft, Rust'u benimsemek için çalışıyor. Kısa bir süre önce Redmond şirketinin dili MS365'in Substrate Uygulama Platformuna adapte ettiğini bildirmiştik. yeni insanları işe almak bunun için yeni bir takıma katılmak. 

Rafly Gilang

Rafly Gilang Kalkan

Teknoloji Muhabiri

Rafly, teknoloji, iş dünyası, sosyal ve kültür alanlarında uzun yıllara dayanan gazetecilik deneyimine sahip bir muhabirdir. Şu anda Windows Report ve MSPowerUser'da Microsoft ile ilgili ürünler, teknoloji ve yapay zeka hakkında haberler rapor ediliyor. Bir ipucu var mı? Şuraya gönder: [e-posta korumalı].