Rust 標(biāo)準(zhǔn)庫 1.77.2 發(fā)布，修復(fù)高危漏洞：可對 Win11 / Win10 發(fā)起注入攻擊

IT之家 4 月 10 日消息，Rust 的優(yōu)勢之一就是安全，但這并不代表該編程語言就沒有漏洞。安全專家近日發(fā)現(xiàn)了追蹤編號(hào)為 CVE-2024-24576 的漏洞，攻擊者利用 Rust 標(biāo)準(zhǔn)庫中的一個(gè)安全漏洞，對 Windows 系統(tǒng)進(jìn)行命令注入攻擊。

該漏洞是由于操作系統(tǒng)命令和參數(shù)注入缺陷造成的，攻擊者可在操作系統(tǒng)上執(zhí)行意外的、潛在的惡意命令。

該漏洞的 CVSS 基本嚴(yán)重評分為 10/10，未經(jīng)身份驗(yàn)證的攻擊者可以在不需要用戶交互的情況下，在低復(fù)雜度攻擊中遠(yuǎn)程利用該漏洞。

Rust 安全響應(yīng)工作組隨后發(fā)布安全公告：

在 Windows 上使用命令 API 調(diào)用批處理文件（帶有 bat 和 cmd 擴(kuò)展名）時(shí)，Rust 標(biāo)準(zhǔn)庫沒有正確轉(zhuǎn)義參數(shù)。

攻擊者可以控制傳遞到生成進(jìn)程的參數(shù)，可繞過轉(zhuǎn)義執(zhí)行任意 shell 命令，在 Windows 上調(diào)用批處理文件時(shí)使用的是不可信任的參數(shù)，因此該漏洞是個(gè)非常高危的漏洞。

IT之家查詢公開資料，Rust 團(tuán)隊(duì)今天發(fā)布了 1.77.2 標(biāo)準(zhǔn)庫安全補(bǔ)丁，修復(fù)了存在于 Windows 系統(tǒng)上的問題，并表示其它平臺(tái)或者用途不受影響。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。