Site icon Kiber.ba

Kritična ‘BatBadBut’ rust ranjivost izlaže Windows sisteme napadima

Kritična 'BatBadBut' Rust ranjivost izlaže Windows sisteme napadima-Kiber.ba

Kritična 'BatBadBut' Rust ranjivost izlaže Windows sisteme napadima-Kiber.ba

Kritična sigurnosna greška u standardnoj biblioteci Rust-a mogla bi se iskoristiti za ciljanje korisnika Windows-a i izvođenje napada ubrizgavanjem komandi.

Ranjivost, praćena kao CVE-2024-24576, ima CVSS ocjenu 10,0, što upućuje na maksimalnu ozbiljnost. Međutim, to utiče samo na scenarije u kojima se batch fajlovi pozivaju na Windows sa nepouzdanim argumentima.

“Standardna Rust biblioteka nije ispravno izbjegla argumente prilikom pozivanja batch datoteka (sa ekstenzijama bat i cmd) na Windows-u koristeći Command API”, rekla je radna grupa Rust Security Response u savjetu objavljenom 9. aprila 2024.

“Napadač koji je u stanju kontrolisati argumente proslijeđene u pokrenutom procesu mogao bi izvršiti proizvoljne shell naredbe zaobilazeći bijeg.”

Greška utiče na sve verzije Rusta pre 1.77.2. Istraživač sigurnosti RyotaK je zaslužan za otkrivanje i prijavu greške CERT Koordinacionom centru ( CERT/CC ).

RyotaK je rekao da ranjivost – kodnog imena BatBadBut – utiče na nekoliko programskih jezika i da se javlja kada „programski jezik obavija funkciju CreateProcess [u Windowsu] i dodaje mehanizam za izbjegavanje argumenata komande“.

Ali u svijetlu činjenice da nije svaki programski jezik rešio ovaj problem, programerima se preporučuje da budu oprezni kada izvršavaju komande na Windows-u.

“Da biste spriječili neočekivano izvršavanje batch datoteka, trebali biste razmotriti premještanje batch datoteka u direktorij koji nije uključen u varijablu okruženja PATH”, rekao je RyotaK u riječi savjeta korisnicima.

“U ovom slučaju, batch fajlovi se neće izvršiti osim ako nije navedena puna putanja, tako da se neočekivano izvršavanje paketnih datoteka može spriječiti.”

Izvor: The Hacker News

Exit mobile version