BatBadBut — критическая брешь Rust, допускающая атаки на Windows-устройства

BatBadBut — критическая брешь Rust, допускающая атаки на Windows-устройства

В типовой библиотеке Rust нашли критическую уязвимость — BatBadBut, которую можно использовать в атаках на пользователей Windows. Согласно описанию, брешь допускает внедрение вредоносных команд.

Проблеме присвоили идентификатор CVE-2024-24576, по шкале CVSS она получила максимальные 10 баллов. Эксплойт сработает только в случае вызова пакетных файлов в Windows с ненадёжными аргументами.

«Проблема в том, что библиотека Rust некорректно экранирует аргументы при вызове пакетных файлов (с расширениями bat и cmd) в системах Windows через API Command», — объясняет команда Rust Security Response.

«В таких условиях атакующий может взять под контроль аргументы, передаваемые в вызываемый процесс, а также выполнить произвольные шелл-команды с обходом экранирования».

Уязвимость затрагивает версии Rust до 1.77.2. На проблему указал исследователь в области кибербезопасности под ником RyotaK.

«Брешь под кодовым именем BatBadBut влияет на несколько языков программирования и возникает в момент оборачивания функции CreateProcess (в Windows) и добавления механизма экранирования аргументов команды», — пишет RyotaK.

Специалист посоветовал переместить пакетные файлы в каталог, не включённый в переменную среды PATH.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Минпромторг РФ предложил запретить иностранщину в мобильных ОС для КИИ

В Минпромторге России созрело предложение ужесточить требования к мобильным ОС с открытым исходным кодом, вносимым в реестр российского софта. В системах, используемых в госсекторе и на объектах КИИ, по мнению чиновников, не должно быть иностранных кодов.

При подаче заявки разработчик к тому же должен будет гарантировать техподдержку / обновление всех компонентов ОС и соответствие требованиям регуляторов в отношении ИБ. В министерстве также считают необходимым усилить проверку мобильных ОС и проводить ее «по всему фронту рисков и угроз, которые могут возникать при использовании открытых архитектур».

«На сегодняшний день ряд мобильных операционных систем базируется на платформах, позиционирующихся как решения с открытым исходным кодом, — пояснил для РБК представитель Минпромторга. — Вместе с тем зачастую развитие таких решений проходит под преобладающим контролем иностранных разработчиков».

В таких случаях включение в состав ОС opensource-компонентов сопряжено с правовыми рисками: правообладатель может поменять лицензию, и использование кода станет невозможным. Кроме того, подобные проекты могут содержать скрытые недокументированные возможности.

По словам собеседника РБК, предложения Минпромторга уже сформулированы и в ближайшее время будут переданы в Минцифры. Если их примут, пострадают в первую очередь РЕД ОС М и kvadraOS разработки Yadro — они построены на AOSP, безраздельно развиваемом Google.

В «РОСА Мобайл», по утверждению разработчика, иностранные компоненты отсутствуют. Инициатива Минпромторга на руку также «Ростелекому»: у его «Авроры» станет меньше конкурентов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru