4 月 10 日消息，Rust 的優(yōu)勢(shì)之一就是安全，但這并不代表該編程語(yǔ)言就沒(méi)有漏洞。安全專(zhuān)家近日發(fā)現(xiàn)了追蹤編號(hào)為 CVE-2024-24576 的漏洞，攻擊者利用 Rust 標(biāo)準(zhǔn)庫(kù)中的一個(gè)安全漏洞，對(duì) Windows 系統(tǒng)進(jìn)行命令注入攻擊。

該漏洞是由于操作系統(tǒng)命令和參數(shù)注入缺陷造成的，攻擊者可在操作系統(tǒng)上執(zhí)行意外的、潛在的惡意命令。

該漏洞的 CVSS 基本嚴(yán)重評(píng)分為 10/10，未經(jīng)身份驗(yàn)證的攻擊者可以在不需要用戶(hù)交互的情況下，在低復(fù)雜度攻擊中遠(yuǎn)程利用該漏洞。

Rust 安全響應(yīng)工作組隨后發(fā)布安全公告：

在 Windows 上使用命令 API 調(diào)用批處理文件（帶有 bat 和 cmd 擴(kuò)展名）時(shí)，Rust 標(biāo)準(zhǔn)庫(kù)沒(méi)有正確轉(zhuǎn)義參數(shù)。

攻擊者可以控制傳遞到生成進(jìn)程的參數(shù)，可繞過(guò)轉(zhuǎn)義執(zhí)行任意 shell 命令，在 Windows 上調(diào)用批處理文件時(shí)使用的是不可信任的參數(shù)，因此該漏洞是個(gè)非常高危的漏洞。

查詢(xún)公開(kāi)資料，Rust 團(tuán)隊(duì)今天發(fā)布了 1.77.2 標(biāo)準(zhǔn)庫(kù)安全補(bǔ)丁，修復(fù)了存在于 Windows 系統(tǒng)上的問(wèn)題，并表示其它平臺(tái)或者用途不受影響。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，所有文章均包含本聲明。

投訴水文 我要糾錯(cuò)

總結(jié)

以上是生活随笔為你收集整理的Rust 标准库 1.77.2 发布，修复高危漏洞：可对 Win11 / Win10 发起注入攻击的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。