VU#238194: Rプログラミング言語の実装は、.rds および .rdx ファイルの逆シリアル化中に任意のコード実行に対して脆弱です
R言語の脆弱性により、信頼できないデータの逆シリアル化後に任意のコードを実行することが可能になることが発見されました。この脆弱性は、RDSファイルと.rdxファイルに影響を与え、攻撃者はこれを悪用して被害者のデバイスに悪意のあるコマンドを実行する可能性があります。Rは、Promiseオブジェクトを通じてデータのシリアル化と遅延評価をサポートしており、悪意のあるコードでロードされた際に悪用される可能性があります。攻撃者は、ソーシャルエンジニアリングを使って悪意のある.rdsファイルと.rdxファイルを配布し、コードはリソースにアクセスしてデータを漏洩させることができます。Rプロジェクトは、この脆弱性を解消するために、R Coreバージョン4.4.0をリリースし、シリアル化ストリームのPromiseを制限しました。ユーザーは、アップデートを適用し、信頼できないファイルはサンドボックス環境で使用するようにして、予期せぬアクセスを防ぐ必要があります。この脆弱性は、HiddenLayerのKasimir SchulzとKieran Evansによって報告され、ドキュメントはChristopher Cullenによって作成されました。