BatBadBut
Une faille de sécurité critique, nommée « BatBadBut », a été découverte dans la bibliothèque standard Rust, affectant toutes les versions antérieures à 1.77.2 sous Windows. Cette vulnérabilité, identifiée sous le code CVE-2024-24576, a un score CVSS de 10.0, permettant à un attaquant d’exécuter des commandes shell arbitraires en contournant le mécanisme d’échappement lors de l’invocation de fichiers batch avec l’API Command.
Découverte par le chercheur en sécurité RyotaK, cette vulnérabilité a été divulguée de manière responsable à l’équipe de sécurité de Rust, qui a rapidement agi pour patcher la faille. Cependant, d’autres langages et outils sont également touchés par cette vulnérabilité, chacun recevant un identifiant CVE distinct.
La gravité de cette vulnérabilité réside dans la possibilité d’exécution arbitraire de commandes si des arguments non fiables sont transmis lors de l’invocation de fichiers batch sous Windows. Pour remédier à cette faille, l’équipe Rust a publié la version 1.77.2, incluant un correctif pour le problème. Les développeurs sont fortement encouragés à mettre à jour leurs applications vers cette version dès que possible pour réduire les risques d’attaques potentielles.
Il est également recommandé de valider et d’assainir correctement les entrées non fiables avant de les transmettre en tant qu’arguments à des fichiers batch. Cette vulnérabilité souligne l’importance de la sécurité informatique et de la gestion proactive des risques dans le développement logiciel.