[新聞] 程式語言Rust被挖出CVSS滿分10分的重大漏洞，Windows電腦恐因此面臨命令注入攻擊

1.媒體來源: ithome 2.記者署名: 周峻佑 3.完整新聞標題: 程式語言Rust被挖出CVSS滿分10分的重大漏洞，Windows電腦恐因此面臨命令注入攻擊 4.完整新聞內文: 程式語言Rust的開發團隊指出，Windows版標準程式庫存在危急（Critical）等級漏洞 CVE-2024-24576，有可能會被攻擊者用於執行任意命令 https://i.imgur.com/KeozGJr.png 4月9日Rust安全事件回應工作群組表示，他們接獲通報，Rust語言的標準程式庫在 Windows環境執行時，具有重大漏洞，當這個元件利用名為command的API處理BAT或CMD批 次檔時，會出現無法正確轉譯參數的情況。攻擊者有機會藉由控制參數的方式，繞過轉譯 流程而能任意執行各種Shell命令。 開發團隊指出，此弱點為危急（Critical）等級，並登記為CVE-2024-24576列管，他們推 出1.77.2版Rust予以修補。而對於該漏洞的危險程度，程式碼儲存庫GitHub將其CVSS風險 評為10分。 針對這項漏洞發生的原因，開發團隊表示，cmd.exe的運作極為複雜，以致於他們實作時 ，無法找到可涵蓋各種狀態的轉譯參數正確做法。 為了確保API的正常運作，該團隊在新版Rust強化了轉譯程式碼的穩健性，並調整 command API的運作，若是無法安全轉譯參數，將會回傳InvalidInput的錯誤訊息。 5.完整新聞連結 (或短網址)不可用YAHOO、LINE、MSN等轉載媒體: https://www.ithome.com.tw/news/162218 6.備註: R門 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.134.21.189 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1712749723.A.936.html