R risolve vulnerabilità di esecuzione di codice arbitrario: aggiornare subito alla versione 4.4.0

Il linguaggio di programmazione R ha risolto una vulnerabilità di esecuzione di codice arbitrario che permetteva l'esecuzione di codice dannoso.

La falla, identificata con il codice CVE-2024-27322, consentiva di eseguire codice arbitrario caricando un file RDS (R Data Serialization) creato ad hoc o integrando un pacchetto R compromesso in un progetto.

La vulnerabilità è stata chiusa nella versione 4.4.0 di R Core, rilasciata all'inizio di questo mese, e si consiglia di aggiornare quanto prima.

Il problema risiedeva nel modo in cui R deserializza i dati. La funzione di deserializzazione integrata di R, che carica le informazioni dai file per decomprimere i dati nelle strutture in memoria, non è sicura e poteva essere sfruttata per eseguire codice arbitrario sul computer della vittima.

Sebbene possa essere complesso sfruttare questa falla, rappresentava un potenziale rischio per la sicurezza della catena di fornitura di R e degli utenti finali. Ora che è stata risolta, gli sviluppatori che usano R possono dormire sonni tranquilli

Commenti

Ancora nessun commento. Sii il primo!

Accedi per votare e commentare!

Feed RSS

Iscriviti al Feed RSS

Ricevi le ultime news di ZioBudda direttamente nel tuo aggregatore.

ZioBudda.org

Portal dedicato al mondo Linux, open source e cultura hacker dal 2001. Notizie, discussioni, community italiana.