IT之家 4 月 10 日音訊 ,規范Rust 的布修優勢之一便是安全,但這并不代表該編程言語就沒有縫隙 。正高安全專家近來發現了追尋編號為 CVE-2024-24576 的危縫縫隙 ,進犯者運用 Rust 規范庫中的議注一個安全縫隙 ,對 Windows 體系進行指令注入進犯 。入進
該縫隙是布修因為操作體系指令和參數注入缺點形成的,進犯者可在操作體系上履行意外的正高 、潛在的危縫歹意指令。
該縫隙的議注 CVSS 根本嚴峻評分為 。 10/10 。入進,規范未經身份驗證的布修進犯者能夠在不需要用戶交互的情況下,在低復雜度進犯中長途運用該縫隙。正高
Rust 安全呼應工作組隨后發布安全公告 :
在 Windows 上運用指令 API 調用批處理文件(帶有 bat 和 cmd 擴展名)時 ,Rust 規范庫沒有正確轉義參數。
進犯者能夠操控傳遞到生成進程的參數 ,可繞過轉義履行恣意 shell 指令,在 Windows 上調用批處理文件時運用的是不行信賴的參數 ,因而該縫隙是個十分高危的縫隙 。
IT之家查詢揭露材料,Rust 團隊今日發布了 1.77.2 規范庫安全補丁 。 ,修正了存在于 Windows 體系上的問題,并表明其它渠道或許用處不受影響。