CVE#238194 : Les implémentations du langage de programmation R sont vulnérables à l'exécution de code arbitraire lors de la désérialisation de fichiers .rds et .rdx
Une faille de sécurité a été découverte dans le langage R, permettant l'exécution de code arbitraire après la désérialisation de données non fiables. Cette vulnérabilité affecte les fichiers RDS et .rdx, qui peuvent être exploités par des attaquants pour exécuter des commandes malveillantes sur les appareils des victimes. R prend en charge la sérialisation de données et l'évaluation paresseuse via des objets Promise, qui peuvent être exploités lorsqu'ils sont chargés avec du code malveillant. Un attaquant peut distribuer des fichiers .rds et .rdx malveillants en utilisant l'ingénierie sociale, et le code peut accéder aux ressources et exfiltrer des données. Le projet R a publié R Core Version 4.4.0 pour corriger cette vulnérabilité, en limitant les promesses dans les flux de sérialisation. Les utilisateurs doivent appliquer les mises à jour et utiliser les fichiers non fiables dans un environnement de bac à sable pour empêcher tout accès inattendu. La vulnérabilité a été signalée par Kasimir Schulz et Kieran Evans de HiddenLayer, et le document a été rédigé par Christopher Cullen.