據(jù)報(bào)道，盡管Rust以其安全性著稱，然而，近期安全研究人員已揭露一名為CVE-2024-24576的漏洞。該漏洞源自Rust標(biāo)準(zhǔn)庫中的一個(gè)安全缺失，給Windows系統(tǒng)帶來了命令注入風(fēng)險(xiǎn)。

此漏洞源于操作系統(tǒng)命令及參數(shù)注入缺陷，攻擊者能非法執(zhí)行可能有害的指令。CVSS評(píng)分達(dá)10/10，意味著無須認(rèn)證即可借助該漏洞發(fā)起低難度遠(yuǎn)端攻擊。

Rust安全響應(yīng)小組隨即發(fā)布安全通告指出，Windows環(huán)境下，當(dāng)運(yùn)行bat或cmd后綴的批次文件時(shí)，Rust標(biāo)準(zhǔn)庫未能準(zhǔn)確轉(zhuǎn)義參數(shù)，從而讓攻擊者得以竊取并操控傳遞至生成程序的參數(shù)，進(jìn)而繞過轉(zhuǎn)義執(zhí)行任意shell命令。鑒于所使用的不受信參數(shù)以及Windows環(huán)境，此漏洞被視為極度危險(xiǎn)。

據(jù)悉，Rust團(tuán)隊(duì)當(dāng)日已發(fā)布1.77.2版本標(biāo)準(zhǔn)庫安全補(bǔ)丁，解決了Windows系統(tǒng)中的漏洞問題，同時(shí)聲明其他平臺(tái)及應(yīng)用無受影響。