近期,Rust 标准库中的一个严重漏洞可被利用来针对 Windows 系统并执行命令注入攻击。该漏洞是由 Flatt Security 的一位名为 RyotaK 的安全工程师发现的。他们将其命名为 BatBadBut,并于 2024 年 4 月 9 日发布了分析报告。同一天,GitHub 将其注册为CVE-2024-24576,严重性评分 (CVSS) 为 10.0。▌解码BatBadBut 漏洞BatBadBut 是一个漏洞,允许攻击者在满足特定条件时对间接依赖于“CreateProcess”函数的 Windows 应用程序执行命令注入。RyotaK 解释道:“CreateProcess() 在执行批处理文件(.bat、.cmd 等)时隐式生成 cmd.exe,即使应用程序未在命令行中指定它们。问题在于 cmd.exe 对命令参数的解析规则很复杂,并且编程语言运行时无法正确转义命令参数。”研究人员表示,正因为如此,如果有人可以控制批处理文件的命令参数部分,就可以注入命令。在4月9日发布的公告中,Rust 安
………………………………