Rust برای آسیب‌پذیری ویندوز رفع امنیتی می‌کند

انتشار نقطه Rust 1.77.2 به یک آسیب پذیری حیاتی می پردازد که بر استقرار ویندوز تأثیر می گذارد.

تیم Rust language برای رفع مشکل آسیب‌پذیری حیاتی در کتابخانه استاندارد که می‌تواند هنگام استفاده از ویندوز برای مهاجم مفید باشد.

Rust 1.77.2، منتشر شد در ۹ آوریل، شامل اصلاحی برای CVE-2024-24576 است. قبل از این نسخه، کتابخانه استاندارد Rust هنگام فراخوانی فایل‌های دسته‌ای با پسوندهای bat و cmd در ویندوز با استفاده از Command API به‌درستی از استدلال فرار نمی‌کرد. مهاجمی که آرگومان های ارسال شده به یک فرآیند ایجاد شده را کنترل می کند، می تواند با دور زدن escape دستورات پوسته دلخواه را اجرا کند. اگر فایل‌های دسته‌ای در ویندوز با آرگومان‌های نامعتبر فراخوانی شوند، این آسیب‌پذیری حیاتی می‌شود. هیچ پلت فرم یا کاربری دیگری تحت تأثیر قرار نگرفت. توسعه دهندگانی که قبلاً از Rust استفاده می کنند می توانند Rust 1.77.2 را با استفاده از دستور rustup update stable دریافت کنند.

Rust 1.77.2 یک نسخه امتیازی است که به دنبال  است. زنگ زدگی ۱.۷۷.۱ تقریباً ۱۲ روز. نسخه ۱.۷۷.۱ به وضعیتی پرداخته است که بر مدیر بسته Cargo در Rust 1.77 که در ۲۱ مارس اعلام شد، تأثیر می‌گذارد. در Rust 1.77، Cargo به توسعه‌دهندگان این امکان را می‌دهد که به‌طور پیش‌فرض اطلاعات اشکال‌زدایی را در نسخه‌های انتشار حذف کنید. با این حال، به دلیل یک مشکل از قبل موجود، حذف debuginfo به شیوه مورد انتظار در ویندوز با زنجیره ابزار MSVC عمل نکرد. Rust 1.77.1 اکنون رفتار بار جدید را در ویندوز برای اهدافی که از MSVC استفاده می کنند غیرفعال می کند. برنامه‌هایی برای فعال کردن مجدد debuginfo در حالت انتشار در نسخه بعدی Rust وجود دارد.