4月9日Rust安全事件回應工作群組表示,他們接獲通報,Rust語言的標準程式庫在Windows環境執行時,具有重大漏洞,當這個元件利用名為command的API處理BAT或CMD批次檔時,會出現無法正確轉譯參數的情況。攻擊者有機會藉由控制參數的方式,繞過轉譯流程而能任意執行各種Shell命令。

開發團隊指出,此弱點為危急(Critical)等級,並登記為CVE-2024-24576列管,他們推出1.77.2版Rust予以修補。而對於該漏洞的危險程度,程式碼儲存庫GitHub將其CVSS風險評為10分

針對這項漏洞發生的原因,開發團隊表示,cmd.exe的運作極為複雜,以致於他們實作時,無法找到可涵蓋各種狀態的轉譯參數正確做法。

為了確保API的正常運作,該團隊在新版Rust強化了轉譯程式碼的穩健性,並調整command API的運作,若是無法安全轉譯參數,將會回傳InvalidInput的錯誤訊息。

熱門新聞

Advertisement