A Rust fejlesztői kedden tájékoztatták arról a nyilvánosságot, hogy az általuk készített nyelv standard könyvtárában egy rendkívül súlyos sebezhetőséget sikerült találni. A CVE-2024-24576 azonosító alatt követett sebezhetőség az ezeket rangsoroló CVSS skálán a lehető legmagasabb, 10-es besorolást kapta meg, amit csak a legsúlyosabb és legveszélyesebb biztonsági hibák kapnak meg. Ennek oka, hogy a Rust standard könyvtárának Command API-ja nem megfelelően kódolja (escape-eli) a meghívott külső futtatható állományoknak átadott parancssori paramétereket. Ennek köszönhetően minden olyan esetben, amikor egy támadó valamilyen módon befolyásolni tudja az átadott paraméterek értékét, azt kihasználhatja tetszőleges külső futtatható állomány meghívására vagy szintén tetszőleges parancs végrehajtására is. A sebezhetőség kizárólag a Rust a Windows-on futó implementációját érinti, mert csak ez használ egy egyedi algoritmust az ilyen parancssori paraméterek kódolására. Erre azért van szükség, mert...