R risolve vulnerabilità di esecuzione di codice arbitrario: aggiornare subito alla versione 4.4.0
by Nuke
Il linguaggio di programmazione R ha risolto una vulnerabilità di esecuzione di codice arbitrario che permetteva l'esecuzione di codice dannoso.
La falla, identificata con il codice CVE-2024-27322, consentiva di eseguire codice arbitrario caricando un file RDS (R Data Serialization) creato ad hoc o integrando un pacchetto R compromesso in un progetto.
La vulnerabilità è stata chiusa nella versione 4.4.0 di R Core, rilasciata all'inizio di questo mese, e si consiglia di aggiornare quanto prima.
Il problema risiedeva nel modo in cui R deserializza i dati. La funzione di deserializzazione integrata di R, che carica le informazioni dai file per decomprimere i dati nelle strutture in memoria, non è sicura e poteva essere sfruttata per eseguire codice arbitrario sul computer della vittima.
Sebbene possa essere complesso sfruttare questa falla, rappresentava un potenziale rischio per la sicurezza della catena di fornitura di R e degli utenti finali. Ora che è stata risolta, gli sviluppatori che usano R possono dormire sonni tranquilli
Commenti:
Ancora nessun commento...