रस्ट प्रोजेक्ट ने अपनी मानक लाइब्रेरी के लिए एक अपडेट जारी किया है, जब एक भेद्यता शोधकर्ता ने पाया कि विंडोज़ सिस्टम पर बैच फ़ाइलों को निष्पादित करने के लिए उपयोग किए जाने वाले एक विशिष्ट फ़ंक्शन का इंजेक्शन दोष का उपयोग करके शोषण किया जा सकता है।
रस्ट प्रोग्रामिंग भाषा में शामिल सामान्य कार्यों का सेट, जिसे मानक लाइब्रेरी के रूप में जाना जाता है, कमांड एपीआई के माध्यम से विंडोज बैच फ़ाइलों को निष्पादित करने के लिए - इसकी कई अन्य क्षमताओं के बीच - क्षमता प्रदान करता है। हालाँकि, फ़ंक्शन ने एपीआई में इनपुट को इतनी सख्ती से संसाधित नहीं किया कि निष्पादन में कोड को इंजेक्ट करने की संभावना को खत्म किया जा सके, इसके अनुसार जंग सुरक्षा प्रतिक्रिया कार्य समूह की सलाह 9 अप्रैल को प्रकाशित.
जबकि रस्ट अपनी मेमोरी-सुरक्षा सुविधाओं के लिए अच्छी तरह से जाना जाता है, एप्लिकेशन-सुरक्षा फर्म जेफ्रॉग के एक वरिष्ठ भेद्यता शोधकर्ता यायर मिजराही कहते हैं, यह घटना इस बात को रेखांकित करती है कि प्रोग्रामिंग भाषा लॉजिक बग के खिलाफ सबूत नहीं है।
"कुल मिलाकर, रस्ट की मेमोरी सुरक्षा एक उल्लेखनीय लाभ है, लेकिन डेवलपर्स को अपने रस्ट-आधारित अनुप्रयोगों की समग्र सुरक्षा और विश्वसनीयता सुनिश्चित करने के लिए तार्किक बग की क्षमता पर भी ध्यान देना चाहिए," वे कहते हैं। "ऐसे तार्किक मुद्दों को संबोधित करने के लिए, रस्ट एक कठोर परीक्षण और कोड समीक्षा प्रक्रिया के साथ-साथ तार्किक बगों की पहचान करने और उन्हें कम करने के लिए स्थैतिक विश्लेषण उपकरणों के उपयोग को प्रोत्साहित करता है।"
रस्ट ने एक बहुत ही सुरक्षित प्रोग्रामिंग भाषा होने के लिए प्रतिष्ठा प्राप्त की है, क्योंकि यह मेमोरी-सुरक्षा कमजोरियों के रूप में ज्ञात अक्सर गंभीर श्रेणी की खामियों के लिए अनुप्रयोगों को खुला नहीं छोड़ती है। गूगल ने जिम्मेदार ठहराया है मेमोरी-असुरक्षित कोड में गिरावट रस्ट और कोटलिन जैसी मेमोरी-सुरक्षित भाषाओं में बदलाव के लिए, जबकि माइक्रोसॉफ्ट ने पाया कि 2018 तक, जब वह मेमोरी-सुरक्षित भाषा में स्थानांतरित हो गया, तो ऐसी कमजोरियाँ नियमित रूप से सभी सुरक्षा मुद्दों में से 70% के लिए जिम्मेदार.
विंडोज़ समस्याओं का एक समूह प्रस्तुत करता है
नवीनतम समस्या मेमोरी-सुरक्षा भेद्यता नहीं है, बल्कि अविश्वसनीय इनपुट को संसाधित करने के लिए उपयोग किए जाने वाले तर्क की समस्या है। रस्ट की मानक लाइब्रेरी का हिस्सा डेवलपर को प्रसंस्करण के लिए विंडोज मशीन पर बैच फ़ाइल भेजने के लिए एक फ़ंक्शन को कॉल करने की अनुमति देता है। रस्ट फाउंडेशन में प्रौद्योगिकी के निदेशक जोएल मार्सी कहते हैं, बैच फ़ाइल के रूप में होस्ट को कोड सबमिट करने के कई कारण हैं, जो प्रोग्रामिंग भाषा के अनुरक्षकों और रस्ट पारिस्थितिकी तंत्र का समर्थन करता है।
"बैच फ़ाइलें सिस्टम पर कई कारणों से चलती हैं, और रस्ट आपको उन्हें आसानी से निष्पादित करने की अनुमति देने के लिए एक एपीआई प्रदान करता है," वे कहते हैं। "तो जबकि यह आवश्यक रूप से रस्ट के लिए सबसे आम उपयोग का मामला नहीं है, एपीआई, फिक्स्ड पैच लागू होने से पहले, दुर्भावनापूर्ण अभिनेताओं को मनमाने ढंग से कमांड चलाकर सैद्धांतिक रूप से आपके सिस्टम पर कब्जा करने की अनुमति देता था, और यह निश्चित रूप से एक महत्वपूर्ण भेद्यता है।"
आमतौर पर, एक डेवलपर मानक लाइब्रेरी के भाग, कमांड एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (एपीआई) के माध्यम से एक बैच प्रक्रिया के रूप में निष्पादित करने के लिए विंडोज होस्ट पर वर्कलोड अग्रेषित कर सकता है। आमतौर पर, रस्ट कमांड एपीआई को किसी भी कॉल की सुरक्षा की गारंटी देता है, लेकिन इस मामले में, रस्ट प्रोजेक्ट सभी तर्कों के निष्पादन को रोकने का कोई तरीका नहीं खोज सका, मुख्य रूप से क्योंकि विंडोज किसी भी प्रकार के मानक का पालन नहीं करता है, और यह कि एपीआई किसी हमलावर को कोड सबमिट करने की अनुमति दे सकता है जिसे बाद में निष्पादित किया जाएगा।
रस्ट सिक्योरिटी रिस्पांस डब्ल्यूजी के अनुसार, "दुर्भाग्य से यह बताया गया कि हमारा भागने का तर्क पर्याप्त रूप से पर्याप्त नहीं था, और दुर्भावनापूर्ण तर्क पारित करना संभव था जिसके परिणामस्वरूप मनमाने ढंग से शेल निष्पादन होगा।"
जंग परियोजना उत्तरदायी साबित होती है
विशेषज्ञों का कहना है कि हालांकि किसी भी कमजोरी से निपटना सिरदर्द हो सकता है, लेकिन रस्ट प्रोजेक्ट ने दिखाया है कि समूह मुद्दों को तुरंत हल कर लेता है। मानक पुस्तकालय भेद्यता, CVE-2024-24576, अंततः विंडोज़ बैच-प्रोसेसिंग समस्या के साथ एक मुद्दा है और अन्य प्रोग्रामिंग भाषाओं को प्रभावित करता है, यदि वे विंडोज़ बैच प्रक्रिया में भेजे गए तर्कों को पर्याप्त रूप से पार्स नहीं करते हैं। जेफ्रॉग के मिजराही का कहना है कि रस्ट प्रोजेक्ट विंडोज सीएमडी.एक्सई प्रक्रिया में तर्क पारित करने के लिए फिक्स वाला पहला दरवाजा प्रतीत होता है।
रस्ट प्रोजेक्ट ने कहा कि समूह समस्या को पूरी तरह से खत्म नहीं कर सके, लेकिन कमांड एपीआई कोई त्रुटि नहीं लौटाएगा जब फ़ंक्शन में पारित कोई भी संवर्द्धन असुरक्षित हो सकता है।
जेफ्रॉग के मिज़राही ने रस्ट से स्थैतिक अनुप्रयोग सुरक्षा परीक्षण के उपयोग को व्यापक बनाने और फ़ज़िंग और गतिशील परीक्षण के उपयोग का विस्तार करने का आग्रह किया है।
"कुल मिलाकर, रस्ट मेमोरी सुरक्षा पर जोर देकर और कठोर परीक्षण प्रथाओं को प्रोत्साहित करके सही रास्ते पर है," वे कहते हैं। "स्थैतिक विश्लेषण और फ़ज़िंग में निरंतर प्रगति के साथ इन प्रयासों को संयोजित करने से रस्ट समुदाय और व्यापक सॉफ़्टवेयर उद्योग को आने वाले वर्षों में तार्किक बग और इनपुट सत्यापन त्रुटियों को संबोधित करने में महत्वपूर्ण प्रगति करने में मदद मिल सकती है।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/critical-rust-flaw-poses-exploit-threat-in-specific-windows-use-cases
