据报道,尽管Rust以其安全性著称,然而,近期安全研究人员已揭露一名为CVE-2024-24576的漏洞。该漏洞源自Rust标准库中的一个安全缺失,给Windows系统带来了命令注入风险。
此漏洞源于操作系统命令及参数注入缺陷,攻击者能非法执行可能有害的指令。CVSS评分达10/10,意味着无须认证即可借助该漏洞发起低难度远端攻击。
Rust安全响应小组随即发布安全通告指出,Windows环境下,当运行bat或cmd后缀的批次文件时,Rust标准库未能准确转义参数,从而让攻击者得以窃取并操控传递至生成程序的参数,进而绕过转义执行任意shell命令。鉴于所使用的不受信参数以及Windows环境,此漏洞被视为极度危险。
据悉,Rust团队当日已发布1.77.2版本标准库安全补丁,解决了Windows系统中的漏洞问题,同时声明其他平台及应用无受影响。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
操作系统
+关注
关注
37文章
6293浏览量
121903 -
漏洞
+关注
关注
0文章
194浏览量
15118 -
Rust
+关注
关注
1文章
223浏览量
6388
发布评论请先 登录
相关推荐
微软修复两个已被黑客利用攻击的零日漏洞
此次更新的精英账号“泄露型”安全漏洞(代号:CVE-2024-26234)源于代理驱动程序欺骗漏洞。萝卜章利用可信的微软硬件发布证书签名恶意驱动程序。
LineageOS 18.1停更在即,后续更新将不再提供
谷歌每年定期提供最新Android安全补丁,至2024年2月已发布适配安卓11的终极安全补丁。鉴于此种情况,基于安卓11的LineageOS 18.1版本不得不停更。
一次Rust重写基础软件的实践
受到2022年“谷歌使用Rust重写Android系统且所有Rust代码的内存安全漏洞为零” [1] 的启发,最近笔者怀着浓厚的兴趣也顺应Rust 的潮流,尝试着将一款C语言开发的基础
Git开发者关注内存安全问题,探讨引入Rust语言
根据最新披露的邮件讨论,Git开发团队热议在Git项目中引入Rust的可行性。作为一种开源的分布式代码版本管理工具,广泛运用于各种开发项目。尽管现在Git项目主要以C与Python为主要开发语言,但探讨显示,引入Rust能显著降低内存安
开源漏洞共享平台及安全奖励计划正式发布
12 月 16 日,在 2023 开放原子开发者大会开幕式上,开源漏洞共享平台及安全奖励计划正式发布。开放原子开源基金会秘书长冯冠霖、开源安全委员会副主席任旭东、开源
开源漏洞共享平台及安全奖励计划正式发布
12月16日,在2023开放原子开发者大会开幕式上,开源漏洞共享平台及安全奖励计划正式发布。开放原子开源基金会秘书长冯冠霖、开源安全委员会副主席任旭东、开源
OpenAtom OpenHarmony 三方库创建发布及安全隐私检测
平台,在【个人中心】-【Package】管理界面,查看已发布的三方库审核、上下架状态。
二、三方库安全隐私检测
安全是OHPM平台的核心原则之一,为此,我们将基于OHPM平台行为准则
发表于 11-13 17:27
Rust GUI实践之Rust-Qt模块
开发者创建高质量的应用程序,包括图形界面、网络、数据库等方面。 Rust-Qt 的优势在于 Rust 语言的安全性和高性能,以及 Qt 框架的强大功能和跨平台性。使用 Rust-Qt
如何在Rust中读写文件
Rust是一种系统级编程语言,它的设计目标是提供安全、并发和高性能的编程体验。Rust的特点在于其内存安全性和线程安全性,它采用了一些创新性
Rust的 match 语句用法
Rust 是一门现代化的系统编程语言,它拥有高性能、内存安全和并发性等特点。Rust 的语法设计非常优秀,其中 match 语句是一种非常强大的语言特性。match 语句可以让我们根据不同的匹配模式
Wasm软件生态系统安全分析
、JIT等模式。
WebAssembly (Wasm) 及其运行环境
Wasm的执行架构与设计特点有:
● 类型安全的栈指令:线性时间类型检查算法,完全确定栈上值的数量和类型;
● 结构化的控制流
发表于 09-05 15:29
首个Rust版sudo发布!
sudo-rs项目则是用 Rust 编写的 sudo 和 su 的、面向安全和内存安全的实现。官网声明中显示,sudo-rs 目前仅针对基于 Linux 的操作系统;运行 sudo-rs 需要 Linux 内核 5.9 或更高版
评论