Rust漏洞可远程执行恶意指令，已发布安全补丁-电子发烧友网

Rust漏洞可远程执行恶意指令，已发布安全补丁

据报道，尽管Rust以其安全性著称，然而，近期安全研究人员已揭露一名为CVE-2024-24576的漏洞。该漏洞源自Rust标准库中的一个安全缺失，给Windows系统带来了命令注入风险。

此漏洞源于操作系统命令及参数注入缺陷，攻击者能非法执行可能有害的指令。CVSS评分达10/10，意味着无须认证即可借助该漏洞发起低难度远端攻击。

Rust安全响应小组随即发布安全通告指出，Windows环境下，当运行bat或cmd后缀的批次文件时，Rust标准库未能准确转义参数，从而让攻击者得以窃取并操控传递至生成程序的参数，进而绕过转义执行任意shell命令。鉴于所使用的不受信参数以及Windows环境，此漏洞被视为极度危险。

据悉，Rust团队当日已发布1.77.2版本标准库安全补丁，解决了Windows系统中的漏洞问题，同时声明其他平台及应用无受影响。

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

操作系统

操作系统

+关注

关注
37

文章
6293

浏览量
121903
漏洞

漏洞

+关注

关注
0

文章
194

浏览量
15118
Rust

Rust

+关注

关注
1

文章
223

浏览量
6388

微软修复两个已被黑客利用攻击的零日漏洞

此次更新的精英账号“泄露型”安全漏洞（代号：CVE-2024-26234）源于代理驱动程序欺骗漏洞。萝卜章利用可信的微软硬件发布证书签名恶意驱动程序。

发表于 04-10 14:39 •218次阅读

LineageOS 18.1停更在即，后续更新将不再提供

谷歌每年定期提供最新Android安全补丁，至2024年2月已发布适配安卓11的终极安全补丁。鉴于此种情况，基于安卓11的LineageOS 18.1版本不得不停更。

发表于 03-08 14:18 •381次阅读

一次Rust重写基础软件的实践

受到2022年“谷歌使用Rust重写Android系统且所有Rust代码的内存安全漏洞为零” [1] 的启发，最近笔者怀着浓厚的兴趣也顺应Rust 的潮流，尝试着将一款C语言开发的基础

发表于 01-25 11:21 •274次阅读

Git开发者关注内存安全问题，探讨引入Rust语言

根据最新披露的邮件讨论，Git开发团队热议在Git项目中引入Rust的可行性。作为一种开源的分布式代码版本管理工具，广泛运用于各种开发项目。尽管现在Git项目主要以C与Python为主要开发语言，但探讨显示，引入Rust能显著降低内存安

发表于 01-15 14:23 •210次阅读

开源漏洞共享平台及安全奖励计划正式发布

12 月 16 日，在 2023 开放原子开发者大会开幕式上，开源漏洞共享平台及安全奖励计划正式发布。开放原子开源基金会秘书长冯冠霖、开源安全委员会副主席任旭东、开源

发表于 12-21 17:32 •446次阅读

开源漏洞共享平台及安全奖励计划正式发布

12月16日，在2023开放原子开发者大会开幕式上，开源漏洞共享平台及安全奖励计划正式发布。开放原子开源基金会秘书长冯冠霖、开源安全委员会副主席任旭东、开源

发表于 12-17 15:50 •807次阅读

OpenAtom OpenHarmony 三方库创建发布及安全隐私检测

平台，在【个人中心】-【Package】管理界面，查看已发布的三方库审核、上下架状态。二、三方库安全隐私检测安全是OHPM平台的核心原则之一，为此，我们将基于OHPM平台行为准则

发表于 11-13 17:27

Rust GUI实践之Rust-Qt模块

开发者创建高质量的应用程序，包括图形界面、网络、数据库等方面。 Rust-Qt 的优势在于 Rust 语言的安全性和高性能，以及 Qt 框架的强大功能和跨平台性。使用 Rust-Qt

发表于 09-30 16:43 •973次阅读

如何在Rust中读写文件

Rust是一种系统级编程语言，它的设计目标是提供安全、并发和高性能的编程体验。Rust的特点在于其内存安全性和线程安全性，它采用了一些创新性

发表于 09-20 10:57 •1202次阅读

Rust的 match 语句用法

Rust 是一门现代化的系统编程语言，它拥有高性能、内存安全和并发性等特点。Rust 的语法设计非常优秀，其中 match 语句是一种非常强大的语言特性。match 语句可以让我们根据不同的匹配模式

发表于 09-19 17:08 •659次阅读

Wasm软件生态系统安全分析

、JIT等模式。 WebAssembly (Wasm) 及其运行环境 Wasm的执行架构与设计特点有： ● 类型安全的栈指令：线性时间类型检查算法，完全确定栈上值的数量和类型； ● 结构化的控制流

发表于 09-05 15:29

首个Rust版sudo发布！

sudo-rs项目则是用 Rust 编写的 sudo 和 su 的、面向安全和内存安全的实现。官网声明中显示，sudo-rs 目前仅针对基于 Linux 的操作系统；运行 sudo-rs 需要 Linux 内核 5.9 或更高版

发表于 09-01 15:59 •525次阅读

虹科分享|如何防范MOVEit传输漏洞|高级威胁防御

警报和网络安全公告，CL0P勒索软件团伙一直在积极利用漏洞进行数据外泄，并在目标计算机上执行远程命令。我们对MOVEit传输漏洞的了解Pro

发表于 06-29 10:08 •707次阅读

NPATCH漏洞无效化解决方案

NPATCH漏洞无效化解决方案防御恶意漏洞探测防御恶意漏洞攻击防御利用漏洞扩散

发表于 05-25 14:46 •1075次阅读

某CMS的命令执行漏洞通用挖掘思路分享

大概是在上半年提交了某个CMS的命令执行漏洞，现在过了那么久，也想通过这次挖掘通用型漏洞，整理一下挖掘思路，分享给大家。

发表于 05-18 17:18 •2287次阅读