VU#238194: Реализации языка пр... Заметка

VU#238194: Реализации языка программирования R уязвимы к произвольному выполнению кода во время десериализации файлов .rds и .rdx

В языке программирования R обнаружена уязвимость, позволяющая выполнять произвольный код после десериализации недоверенных данных. Эта уязвимость затрагивает файлы RDS и .rdx, которые могут быть использованы злоумышленниками для выполнения вредоносных команд на устройствах жертв. R поддерживает сериализацию данных и ленивую оценку через объекты Promise, которые могут быть использованы при загрузке вредоносного кода. Злоумышленник может распространять вредоносные файлы .rds и .rdx с помощью социальной инженерии, а код может получить доступ к ресурсам и украсть данные. Проект R выпустил R Core версию 4.4.0 для устранения этой уязвимости, ограничив обещания в потоках сериализации. Пользователи должны установить обновления и использовать недоверенные файлы в песочнице, чтобы предотвратить несанкционированный доступ. Уязвимость была обнаружена Казимиром Шульцем и Кираном Эвансом из HiddenLayer, а документ был написан Кристофером Калленом.