Особенность языка R позволяет выполнять код с помощью RDS и RDX-файлов
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Особенность языка R позволяет выполнять код с помощью RDS и RDX-файлов

Вероника Дубровская 02 Мая 2024 - 15:54
...
Особенность языка R позволяет выполнять код с помощью RDS и RDX-файлов

Новая брешь обнаружена в софте, написанном на языке программирования R, которая позволяет выполнить произвольный код при десериализации специально созданных файлов RDS и RDX.

R — это язык программирования с открытым исходным кодом, который особенно популярен среди статистиков и специалистов по сбору данных, также использующийся в областях машинного обучения и искусственного интеллекта.

Специалисты из HiddenLayer обнаружили в программах на R уязвимость CVE-2024-27322, которая оценивается в 8,8 балла по метрике CVSS. Данная брешь позволяет злоумышленникам выполнять произвольный код на целевых машинах, когда жертва открывает RDS или RDX-файлы.

Уязвимость использует способ, которым R обрабатывает сериализацию и десериализацию, в частности с помощью «объектов обещаний» и «ленивой оценки».

 

Хакеры внедряют объект обещаний с произвольным кодом в RDS-файл, который будет выполнен при условии загрузки заражённого объекта.

Сложность атаки заключается в том, что злоумышленники должны убедить жертву скачать данный файл себе на устройство. Некоторые хакеры выбирают пассивный вариант, распространяя зараженные пакеты в широко используемых репозиториях.

Язык программирования R все чаще используется в критически важных отраслях, поэтому данная проблема вызывает опасения. Уязвимость может привести к полной компрометации системы, в которой запущена программа.

Просматривая репозитории, исследователи из HiddenLayer обнаружили, что readRDS, один из многих способов эксплуатации этой уязвимости, упоминается более чем в 135 000 исходных файлов R. Среди исходных файлов, содержащих потенциально уязвимый код, были проекты от R Studio, Facebook, Google, Microsoft, AWS и других крупных производителей программного обеспечения.

Эксперты CERT/CC предупредили организации, использующие R и функцию readRDS в непроверенных пакетах, о необходимости обновления до R Core версии 4.4.0, в которой была устранена уязвимость.

Для пользователей, не имеющих возможности перехода на новую версию, рекомендовано внедрить дополнительные уровни безопасности, например, запускать файлы RDS/RDX в изолированных средах, таких как песочницы и контейнеры, чтобы предотвратить выполнение кода в базовой системе.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Игровые сервисы будут обязаны идентифицировать российских геймеров
Яков Шпунт 10 Января 2025 - 18:52
Соответствие законодательству РФ Общее Соответствие требованиям регуляторов
Игровые сервисы будут обязаны идентифицировать российских геймеров

Законопроект № 795581-8 «О деятельности по разработке и распространению видеоигр на территории Российской Федерации» вводит обязательные меры регулирования отрасли, включая идентификацию пользователей онлайн-сервисов.

Для этого предлагается использовать номер телефона, «Единую систему идентификации и аутентификации» (ЕСИА) или её биометрический аналог — «Единую систему идентификации и аутентификации физических лиц с использованием биометрических персональных данных».

Документ был внесён в Госдуму группой депутатов и членов Совета Федерации в декабре 2024 года, а 10 января 2025 года предложен к рассмотрению в первом чтении.

Как отметил один из авторов законопроекта, член Совета Федерации Артём Шейкин, в интервью «РИА Новости», игровые сервисы в России будут обязаны проводить идентификацию пользователей с помощью указанных систем.

Кроме того, разработчики и дистрибьюторы видеоигр должны будут уведомлять пользователей об «особенностях содержания» продукции.

В их числе — сцены насилия, изображение преступлений, общественно опасных действий, смертей, катастроф, заболеваний, действий сексуального характера, употребления алкоголя, табака или наркотиков, использование нецензурной лексики, а также наличие внутриигровых покупок.

Ответственность за классификацию контента возлагается на разработчиков или издателей.

Однако некоторые положения, предложенные на этапе обсуждения, в итоговый текст законопроекта не вошли. В частности, предложение депутата Госдумы Яны Лантратовой о необходимости получения прокатных удостоверений для видеоигр было исключено.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
МУЛЬТИФАКТОР стала лицензиатом ФСТЭК России
Новость
МУЛЬТИФАКТОР стала лицензиатом ФСТЭК России
Huawei будет продвигать HarmonyOS Next глобально
Новость
Huawei будет продвигать HarmonyOS Next глобально
Только пятая часть российских госкомпаний уже перешла на российское ПО
Новость
Только пятая часть российских госкомпаний уже перешла на рос...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.