极道
·
Windows中Rust标准库发现“BatBadBut”漏洞
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
Rust标准库发现“BatBadBut”漏洞,影响Windows上1.77.2之前的版本。漏洞允许攻击者绕过转义机制执行任意shell命令。Rust发布了修复程序1.77.2,建议开发人员尽快更新以降低风险。
🎯
关键要点
- Rust标准库发现名为'BatBadBut'的严重安全漏洞,影响Windows上1.77.2之前的版本。
- 该漏洞被认定为CVE-2024-24576,CVSS得分为10.0,允许攻击者绕过转义机制执行任意shell命令。
- 漏洞源于cmd.exe的复杂解析规则,Rust标准库未能正确转义cmd.exe的命令参数,导致潜在的命令注入。
- 漏洞仅影响在Windows上运行的Rust代码,使用不受信任的参数执行批处理文件。
- Rust团队发布了版本1.77.2,包含该问题的修复程序,建议开发人员尽快更新。
- 在将不受信任的输入作为参数传递给批处理文件之前,确保对其进行适当验证和消毒至关重要。
➡️
