VU#238194: R 프로그래밍 언어 구현은 .rds... 노트

VU#238194: R 프로그래밍 언어 구현은 .rds 및 .rdx 파일 역직렬화 중 임의 코드 실행에 취약합니다.

R 언어에서 발견된 취약점으로 인해 신뢰할 수 없는 데이터를 역직렬화한 후 임의의 코드 실행이 가능합니다. 이 취약점은 공격자가 악성 명령을 희생자 장치에서 실행하는 데 사용할 수 있는 RDS 및 .rdx 파일을 포함합니다. R은 Promise 객체를 통해 데이터 직렬화 및 지연된 평가를 지원하며, 악성 코드를 로드할 때 악용될 수 있습니다. 공격자는 사회 공학을 사용하여 악성 .rds 및 .rdx 파일을 배포할 수 있으며, 코드는 리소스에 액세스하고 데이터를 유출할 수 있습니다. R 프로젝트는 이 취약점을 해결하기 위해 R Core 버전 4.4.0을 출시했으며, 직렬화 스트림에서 Promise를 제한했습니다. 사용자는 업데이트를 적용하고 예기치 않은 액세스를 방지하기 위해 신뢰할 수 없는 파일을 샌드박스 환경에서 사용해야 합니다. 이 취약점은 HiddenLayer의 Kasimir Schulz와 Kieran Evans가 보고했으며, 이 문서는 Christopher Cullen이 작성했습니다.