※ 引述《wei115 (社畜)》之铭言：
: ithome
: 周峻佑
: 程式语言Rust被挖出CVSS满分10分的重大漏洞，Windows电脑恐因此面临命令注入攻击
: 程式语言Rust的开发团队指出，Windows版标准程式库存在危急（Critical）等级漏洞
: CVE-2024-24576，有可能会被攻击者用于执行任意命令
: 针对这项漏洞发生的原因，开发团队表示，cmd.exe的运作极为复杂，以致于他们实作时
: ，无法找到可涵盖各种状态的转译参数正确做法。
: https://www.ithome.com.tw/news/162218
推 HowLeeHi: 这弱点就是没有处理好参数,导致参数资料 36.231.26.203 04/10 20:28
→ HowLeeHi: 可以被当成command来执行,超级危险36.231.26.203 04/10 20:28
推 ronga: 不是windows的问题好吗....61.228.224.76 04/10 20:59
→ ronga: 是Rust的windows版本有漏洞61.228.224.76 04/10 21:00
这看起来会让人理解为
用 rust 写出的 windows 版程式,当它需要传参给 windows 的 cmd 处理时.
因为没有 cmd 的 spec,所以没有办法正确地做出传参的对应方式(api模式)
不精确的比喻, rust 可能收到并转丢了一个 'del c:\*.*' 的字串出去给 cmd,
结果 cmd 收到以后竟然把它当成了指令.
但是 rust 的开发人员又无从得知也无法预先知道
丢了什么给 cmd 会出现想像不到的结果.因为根本查不到 cmd 这鬼东西的运作逻辑.
也无法用对方式告诉 cmd 'del c:\*.*'只是文字,不是 command...