Se ha descubierto una vulnerabilidad crítica en la biblioteca estándar de Rust que podría permitir ataques de inyección de comandos a los usuarios de Windows. La falla, identificada como CVE-2024-24576 y conocida como BatBadBut, es muy grave, con una puntuación de CVSS de 10,0. Sin embargo, solo afecta a escenarios específicos en los que se invocan archivos por lotes en Windows con argumentos no confiables. Según el grupo de trabajo de Respuesta de Seguridad de Rust, la biblioteca no escapaba correctamente los argumentos en estos casos, lo que permitía a un atacante controlar los argumentos pasados al proceso generado y ejecutar comandos shell arbitrarios.
La vulnerabilidad afecta a todas las versiones de Rust anteriores a 1.77.2 y ha sido descubierta y reportada por el investigador de seguridad RyotaK al Centro de Coordinación de CERT (CERT/CC). El problema también afecta a otros lenguajes de programación, pero como no todos han abordado la cuestión, se aconseja a los desarrolladores que tengan precaución al ejecutar comandos en Windows.
Para evitar la ejecución inesperada de archivos por lotes, es recomendable moverlos a un directorio que no esté incluido en la variable de entorno PATH, de modo que no se ejecuten a menos que se especifique la ruta completa. Con esta medida, se puede evitar la ejecución inesperada de archivos por lotes. La seguridad en línea es una preocupación constante en este tipo de situaciones, por lo que es fundamental que se tomen medidas para mejorar la protección de los usuarios.
Vía The Hacker News
