रस्ट प्रोजेक्ट ने अपनी मानक लाइब्रेरी के लिए एक अपडेट जारी किया है, जब एक भेद्यता शोधकर्ता ने पाया कि विंडोज़ सिस्टम पर बैच फ़ाइलों को निष्पादित करने के लिए उपयोग किए जाने वाले एक विशिष्ट फ़ंक्शन का इंजेक्शन दोष का उपयोग करके शोषण किया जा सकता है।
रस्ट प्रोग्रामिंग भाषा में शामिल सामान्य कार्यों का सेट, जिसे मानक लाइब्रेरी के रूप में जाना जाता है, कमांड एपीआई के माध्यम से विंडोज बैच फ़ाइलों को निष्पादित करने के लिए - इसकी कई अन्य क्षमताओं के बीच - क्षमता प्रदान करता है। हालाँकि, फ़ंक्शन ने एपीआई में इनपुट को इतनी सख्ती से संसाधित नहीं किया कि निष्पादन में कोड को इंजेक्ट करने की संभावना को खत्म किया जा सके, इसके अनुसार जंग सुरक्षा प्रतिक्रिया कार्य समूह की सलाह 9 अप्रैल को प्रकाशित.
जबकि रस्ट अपनी मेमोरी-सुरक्षा सुविधाओं के लिए अच्छी तरह से जाना जाता है, एप्लिकेशन-सुरक्षा फर्म जेफ्रॉग के एक वरिष्ठ भेद्यता शोधकर्ता यायर मिजराही कहते हैं, यह घटना इस बात को रेखांकित करती है कि प्रोग्रामिंग भाषा लॉजिक बग के खिलाफ सबूत नहीं है।
"कुल मिलाकर, रस्ट की मेमोरी सुरक्षा एक उल्लेखनीय लाभ है, लेकिन डेवलपर्स को अपने रस्ट-आधारित अनुप्रयोगों की समग्र सुरक्षा और विश्वसनीयता सुनिश्चित करने के लिए तार्किक बग की क्षमता पर भी ध्यान देना चाहिए," वे कहते हैं। "ऐसे तार्किक मुद्दों को संबोधित करने के लिए, रस्ट एक कठोर परीक्षण और कोड समीक्षा प्रक्रिया के साथ-साथ तार्किक बगों की पहचान करने और उन्हें कम करने के लिए स्थैतिक विश्लेषण उपकरणों के उपयोग को प्रोत्साहित करता है।"
रस्ट ने एक बहुत ही सुरक्षित प्रोग्रामिंग भाषा होने के लिए प्रतिष्ठा प्राप्त की है, क्योंकि यह मेमोरी-सुरक्षा कमजोरियों के रूप में ज्ञात अक्सर गंभीर श्रेणी की खामियों के लिए अनुप्रयोगों को खुला नहीं छोड़ती है। गूगल ने जिम्मेदार ठहराया है मेमोरी-असुरक्षित कोड में गिरावट रस्ट और कोटलिन जैसी मेमोरी-सुरक्षित भाषाओं में बदलाव के लिए, जबकि माइक्रोसॉफ्ट ने पाया कि 2018 तक, जब वह मेमोरी-सुरक्षित भाषा में स्थानांतरित हो गया, तो ऐसी कमजोरियाँ नियमित रूप से सभी सुरक्षा मुद्दों में से 70% के लिए जिम्मेदार.
विंडोज़ समस्याओं का एक समूह प्रस्तुत करता है
नवीनतम समस्या मेमोरी-सुरक्षा भेद्यता नहीं है, बल्कि अविश्वसनीय इनपुट को संसाधित करने के लिए उपयोग किए जाने वाले तर्क की समस्या है। रस्ट की मानक लाइब्रेरी का हिस्सा डेवलपर को प्रसंस्करण के लिए विंडोज मशीन पर बैच फ़ाइल भेजने के लिए एक फ़ंक्शन को कॉल करने की अनुमति देता है। रस्ट फाउंडेशन में प्रौद्योगिकी के निदेशक जोएल मार्सी कहते हैं, बैच फ़ाइल के रूप में होस्ट को कोड सबमिट करने के कई कारण हैं, जो प्रोग्रामिंग भाषा के अनुरक्षकों और रस्ट पारिस्थितिकी तंत्र का समर्थन करता है।
"बैच फ़ाइलें सिस्टम पर कई कारणों से चलती हैं, और रस्ट आपको उन्हें आसानी से निष्पादित करने की अनुमति देने के लिए एक एपीआई प्रदान करता है," वे कहते हैं। "तो जबकि यह आवश्यक रूप से रस्ट के लिए सबसे आम उपयोग का मामला नहीं है, एपीआई, फिक्स्ड पैच लागू होने से पहले, दुर्भावनापूर्ण अभिनेताओं को मनमाने ढंग से कमांड चलाकर सैद्धांतिक रूप से आपके सिस्टम पर कब्जा करने की अनुमति देता था, और यह निश्चित रूप से एक महत्वपूर्ण भेद्यता है।"
आमतौर पर, एक डेवलपर मानक लाइब्रेरी के भाग, कमांड एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (एपीआई) के माध्यम से एक बैच प्रक्रिया के रूप में निष्पादित करने के लिए विंडोज होस्ट पर वर्कलोड अग्रेषित कर सकता है। आमतौर पर, रस्ट कमांड एपीआई को किसी भी कॉल की सुरक्षा की गारंटी देता है, लेकिन इस मामले में, रस्ट प्रोजेक्ट सभी तर्कों के निष्पादन को रोकने का कोई तरीका नहीं खोज सका, मुख्य रूप से क्योंकि विंडोज किसी भी प्रकार के मानक का पालन नहीं करता है, और यह कि एपीआई किसी हमलावर को कोड सबमिट करने की अनुमति दे सकता है जिसे बाद में निष्पादित किया जाएगा।
रस्ट सिक्योरिटी रिस्पांस डब्ल्यूजी के अनुसार, "दुर्भाग्य से यह बताया गया कि हमारा भागने का तर्क पर्याप्त रूप से पर्याप्त नहीं था, और दुर्भावनापूर्ण तर्क पारित करना संभव था जिसके परिणामस्वरूप मनमाने ढंग से शेल निष्पादन होगा।"
जंग परियोजना उत्तरदायी साबित होती है
विशेषज्ञों का कहना है कि हालांकि किसी भी कमजोरी से निपटना सिरदर्द हो सकता है, लेकिन रस्ट प्रोजेक्ट ने दिखाया है कि समूह मुद्दों को तुरंत हल कर लेता है। मानक पुस्तकालय भेद्यता, CVE-2024-24576, अंततः विंडोज़ बैच-प्रोसेसिंग समस्या के साथ एक मुद्दा है और अन्य प्रोग्रामिंग भाषाओं को प्रभावित करता है, यदि वे विंडोज़ बैच प्रक्रिया में भेजे गए तर्कों को पर्याप्त रूप से पार्स नहीं करते हैं। जेफ्रॉग के मिजराही का कहना है कि रस्ट प्रोजेक्ट विंडोज सीएमडी.एक्सई प्रक्रिया में तर्क पारित करने के लिए फिक्स वाला पहला दरवाजा प्रतीत होता है।
रस्ट प्रोजेक्ट ने कहा कि समूह समस्या को पूरी तरह से खत्म नहीं कर सके, लेकिन कमांड एपीआई कोई त्रुटि नहीं लौटाएगा जब फ़ंक्शन में पारित कोई भी संवर्द्धन असुरक्षित हो सकता है।
जेफ्रॉग के मिज़राही ने रस्ट से स्थैतिक अनुप्रयोग सुरक्षा परीक्षण के उपयोग को व्यापक बनाने और फ़ज़िंग और गतिशील परीक्षण के उपयोग का विस्तार करने का आग्रह किया है।
"कुल मिलाकर, रस्ट मेमोरी सुरक्षा पर जोर देकर और कठोर परीक्षण प्रथाओं को प्रोत्साहित करके सही रास्ते पर है," वे कहते हैं। "स्थैतिक विश्लेषण और फ़ज़िंग में निरंतर प्रगति के साथ इन प्रयासों को संयोजित करने से रस्ट समुदाय और व्यापक सॉफ़्टवेयर उद्योग को आने वाले वर्षों में तार्किक बग और इनपुट सत्यापन त्रुटियों को संबोधित करने में महत्वपूर्ण प्रगति करने में मदद मिल सकती है।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/critical-rust-flaw-poses-exploit-threat-in-specific-windows-use-cases
- :हैस
- :है
- :नहीं
- $यूपी
- 2018
- 7
- 9
- a
- क्षमता
- अनुसार
- अभिनेताओं
- पता
- को संबोधित
- पर्याप्त रूप से
- स्वीकार कर लिया
- प्रगति
- लाभ
- बाद
- के खिलाफ
- सब
- अनुमति देना
- की अनुमति दी
- की अनुमति देता है
- भी
- के बीच में
- an
- विश्लेषण
- और
- कोई
- एपीआई
- प्रकट होता है
- आवेदन
- अनुप्रयोग सुरक्षा
- अनुप्रयोगों
- अप्रैल
- मनमाना
- हैं
- तर्क
- AS
- At
- आक्रांता
- ध्यान
- बढाती
- BE
- क्योंकि
- से पहले
- जा रहा है
- व्यापक
- व्यापक
- कीड़े
- लेकिन
- by
- कॉल
- कर सकते हैं
- क्षमताओं
- मामला
- मामलों
- कक्षा
- समापन
- कोड
- को़ड समीक्षा
- संयोजन
- कैसे
- आदेश
- सामान्य
- समुदाय
- पूरी तरह से
- निरंतर
- सका
- महत्वपूर्ण
- व्यवहार
- निश्चित रूप से
- डेवलपर
- डेवलपर्स
- डीआईडी
- निदेशक
- की खोज
- do
- कर देता है
- द्वारा
- बूंद
- गतिशील
- आसानी
- पारिस्थितिकी तंत्र
- प्रयासों
- को खत्म करने
- पर बल
- को प्रोत्साहित करती है
- को प्रोत्साहित करने
- पर्याप्त
- सुनिश्चित
- त्रुटि
- निष्पादित
- मार डाला
- निष्पादन
- विस्तार
- विशेषज्ञों
- शोषण करना
- शोषित
- काफी
- विशेषताएं
- पट्टिका
- फ़ाइलें
- खोज
- फर्म
- प्रथम
- फिक्स
- तय
- दोष
- खामियां
- के लिए
- आगे
- पाया
- बुनियाद
- समारोह
- कार्यों
- प्राप्त की
- गूगल
- समूह
- समूह की
- गारंटी देता है
- he
- मदद
- मेजबान
- तथापि
- एचटीएमएल
- HTTPS
- पहचान करना
- if
- कार्यान्वित
- in
- घटना
- शामिल
- उद्योग
- निवेश
- निविष्टियां
- इंटरफेस
- में
- मुद्दा
- जारी किए गए
- मुद्दों
- IT
- आईटी इस
- जोएल
- जेपीजी
- जानने वाला
- भाषा
- भाषाऐं
- ताज़ा
- छोड़ना
- पुस्तकालय
- तर्क
- तार्किक
- मशीन
- बनाना
- दुर्भावनापूर्ण
- बहुत
- याद
- माइक्रोसॉफ्ट
- कम करना
- अधिकांश
- चाहिए
- अनिवार्य रूप से
- प्रसिद्ध
- of
- ऑफर
- on
- खुला
- अन्य
- हमारी
- आउट
- के ऊपर
- कुल
- भाग
- पास
- पारित कर दिया
- पासिंग
- पैच
- वेतन
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- बन गया है
- संभावना
- संभव
- संभावित
- प्रथाओं
- को रोकने के
- मुख्यत
- मुसीबत
- प्रक्रिया
- प्रसंस्करण
- प्रोग्रामिंग
- प्रोग्रामिंग की भाषाएँ
- परियोजना
- प्रमाण
- साबित होता है
- प्रदान करता है
- प्रकाशित
- जल्दी से
- कारण
- नियमित तौर पर
- विश्वसनीयता
- की सूचना दी
- ख्याति
- शोधकर्ता
- निराकरण
- प्रतिक्रिया
- उत्तरदायी
- परिणाम
- वापसी
- की समीक्षा
- सही
- कठिन
- रन
- दौड़ना
- जंग
- s
- सुरक्षा
- कहा
- कहना
- कहते हैं
- सुरक्षित
- सुरक्षा
- भेजें
- वरिष्ठ
- भेजा
- सेट
- खोल
- पाली
- स्थानांतरित कर दिया
- दिखाया
- महत्वपूर्ण
- So
- सॉफ्टवेयर
- विशिष्ट
- मानक
- स्थिर
- प्रगति
- प्रस्तुत
- भेजने
- ऐसा
- समर्थन करता है
- प्रणाली
- सिस्टम
- लेना
- टेक्नोलॉजी
- परीक्षण
- कि
- RSI
- लेकिन हाल ही
- फिर
- वहाँ।
- इन
- वे
- इसका
- संपूर्ण
- उन
- धमकी
- यहाँ
- सेवा मेरे
- उपकरण
- ट्रैक
- आम तौर पर
- अंत में
- रेखांकित
- दुर्भाग्य से
- जब तक
- अपडेट
- आग्रह
- उपयोग
- उदाहरण
- प्रयुक्त
- का उपयोग
- सत्यापन
- बहुत
- कमजोरियों
- भेद्यता
- था
- मार्ग..
- कुंआ
- कब
- कौन कौन से
- जब
- मर्जी
- खिड़कियां
- साथ में
- काम कर रहे
- काम करने वाला समहू
- होगा
- साल
- आप
- आपका
- जेफिरनेट