安全团队发现了一个严重的 Rust 标准库漏洞,编号为 CVE-2024-24576,可能导致针对 Windows 系统的命令注入攻击。这个漏洞的评级为 10/10,表示极其严重,并且攻击者可以在低复杂性攻击中远程利用它,无需用户交互。
具体来说,当在 Windows 上使用 Command API 调用批处理文件时,Rust 标准库未正确转义参数,这给了攻击者执行任意 shell 命令的机会。攻击者可以控制传递给生成进程的参数,绕过转义机制。
Rust 安全团队正在努力解决这个问题,提高转义代码的鲁棒性并修改命令 API。如果生成进程时参数无法安全地转义,则会返回 InvalidInput 错误。此外,在 Windows 上,攻击者还可以使用 CommandExt::raw_arg 方法绕过标准库转义逻辑。
这个漏洞的发现反映了对内存安全编程语言的需求增加。今年 2 月,白宫国家网络主任办公室 (ONCD) 敦促科技公司采用内存安全编程语言,以减少内存安全漏洞的数量,提高软件安全性。