R risolve vulnerabilità di esecuzione di codice arbitrario: aggiornare subito alla versione 4.4.0

by Nuke

Il linguaggio di programmazione R ha risolto una vulnerabilità di esecuzione di codice arbitrario che permetteva l'esecuzione di codice dannoso.

La falla, identificata con il codice CVE-2024-27322, consentiva di eseguire codice arbitrario caricando un file RDS (R Data Serialization) creato ad hoc o integrando un pacchetto R compromesso in un progetto.

La vulnerabilità è stata chiusa nella versione 4.4.0 di R Core, rilasciata all'inizio di questo mese, e si consiglia di aggiornare quanto prima.

Il problema risiedeva nel modo in cui R deserializza i dati. La funzione di deserializzazione integrata di R, che carica le informazioni dai file per decomprimere i dati nelle strutture in memoria, non è sicura e poteva essere sfruttata per eseguire codice arbitrario sul computer della vittima.

Sebbene possa essere complesso sfruttare questa falla, rappresentava un potenziale rischio per la sicurezza della catena di fornitura di R e degli utenti finali. Ora che è stata risolta, gli sviluppatori che usano R possono dormire sonni tranquilli

Source: hiddenlayer.com/research/r-bitrary-code-execution/ 02-05-2024 07:05 Upvotes: 0

Log in to upvote and add comments!