4 月 10 日消息，Rust 的優(yōu)勢之一就是安全，但這并不代表該編程語言就沒有漏洞。安全專家近日發(fā)現了追蹤編號為 CVE-2024-24576 的漏洞，攻擊者利用 Rust 標準庫中的一個安全漏洞，對 Windows 系統(tǒng)進行命令注入攻擊。

該漏洞是由于操作系統(tǒng)命令和參數注入缺陷造成的，攻擊者可在操作系統(tǒng)上執(zhí)行意外的、潛在的惡意命令。

該漏洞的 CVSS 基本嚴重評分為 10/10，未經身份驗證的攻擊者可以在不需要用戶交互的情況下，在低復雜度攻擊中遠程利用該漏洞。

Rust 安全響應工作組隨后發(fā)布安全公告：

在 Windows 上使用命令 API 調用批處理文件（帶有 bat 和 cmd 擴展名）時，Rust 標準庫沒有正確轉義參數。

攻擊者可以控制傳遞到生成進程的參數，可繞過轉義執(zhí)行任意 shell 命令，在 Windows 上調用批處理文件時使用的是不可信任的參數，因此該漏洞是個非常高危的漏洞。

查詢公開資料，Rust 團隊今天發(fā)布了 1.77.2 標準庫安全補丁，修復了存在于 Windows 系統(tǒng)上的問題，并表示其它平臺或者用途不受影響。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，所有文章均包含本聲明。

投訴水文 我要糾錯

總結

以上是生活随笔為你收集整理的Rust 标准库 1.77.2 发布，修复高危漏洞：可对 Win11 / Win10 发起注入攻击的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。