More

    Kritična ‘BatBadBut’ rust ranjivost izlaže Windows sisteme napadima

    Kritična sigurnosna greška u standardnoj biblioteci Rust-a mogla bi se iskoristiti za ciljanje korisnika Windows-a i izvođenje napada ubrizgavanjem komandi.

    Ranjivost, praćena kao CVE-2024-24576, ima CVSS ocjenu 10,0, što upućuje na maksimalnu ozbiljnost. Međutim, to utiče samo na scenarije u kojima se batch fajlovi pozivaju na Windows sa nepouzdanim argumentima.

    “Standardna Rust biblioteka nije ispravno izbjegla argumente prilikom pozivanja batch datoteka (sa ekstenzijama bat i cmd) na Windows-u koristeći Command API”, rekla je radna grupa Rust Security Response u savjetu objavljenom 9. aprila 2024.

    “Napadač koji je u stanju kontrolisati argumente proslijeđene u pokrenutom procesu mogao bi izvršiti proizvoljne shell naredbe zaobilazeći bijeg.”

    Greška utiče na sve verzije Rusta pre 1.77.2. Istraživač sigurnosti RyotaK je zaslužan za otkrivanje i prijavu greške CERT Koordinacionom centru ( CERT/CC ).

    RyotaK je rekao da ranjivost – kodnog imena BatBadBut – utiče na nekoliko programskih jezika i da se javlja kada „programski jezik obavija funkciju CreateProcess [u Windowsu] i dodaje mehanizam za izbjegavanje argumenata komande“.

    Ali u svijetlu činjenice da nije svaki programski jezik rešio ovaj problem, programerima se preporučuje da budu oprezni kada izvršavaju komande na Windows-u.

    “Da biste spriječili neočekivano izvršavanje batch datoteka, trebali biste razmotriti premještanje batch datoteka u direktorij koji nije uključen u varijablu okruženja PATH”, rekao je RyotaK u riječi savjeta korisnicima.

    “U ovom slučaju, batch fajlovi se neće izvršiti osim ako nije navedena puna putanja, tako da se neočekivano izvršavanje paketnih datoteka može spriječiti.”

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories