※ 引述《wei115 (社畜)》之銘言：
: ithome
: 周峻佑
: 程式語言Rust被挖出CVSS滿分10分的重大漏洞，Windows電腦恐因此面臨命令注入攻擊
: 程式語言Rust的開發團隊指出，Windows版標準程式庫存在危急（Critical）等級漏洞
: CVE-2024-24576，有可能會被攻擊者用於執行任意命令
: 針對這項漏洞發生的原因，開發團隊表示，cmd.exe的運作極為複雜，以致於他們實作時
: ，無法找到可涵蓋各種狀態的轉譯參數正確做法。
: https://www.ithome.com.tw/news/162218
推 HowLeeHi: 這弱點就是沒有處理好參數,導致參數資料 36.231.26.203 04/10 20:28
→ HowLeeHi: 可以被當成command來執行,超級危險36.231.26.203 04/10 20:28
推 ronga: 不是windows的問題好嗎....61.228.224.76 04/10 20:59
→ ronga: 是Rust的windows版本有漏洞61.228.224.76 04/10 21:00
這看起來會讓人理解為
用 rust 寫出的 windows 版程式,當它需要傳參給 windows 的 cmd 處理時.
因為沒有 cmd 的 spec,所以沒有辦法正確地做出傳參的對應方式(api模式)
不精確的比喻, rust 可能收到並轉丟了一個 'del c:\*.*' 的字串出去給 cmd,
結果 cmd 收到以後竟然把它當成了指令.
但是 rust 的開發人員又無從得知也無法預先知道
丟了什麼給 cmd 會出現想像不到的結果.因為根本查不到 cmd 這鬼東西的運作邏輯.
也無法用對方式告訴 cmd 'del c:\*.*'只是文字,不是 command...