程式開發語言R爆有程式碼執行漏洞,可用於供應鏈攻擊
· 2024-05-02

R語言開發單位近期發布的R Core Version 4.4.0新版,修布一項允許攻擊者執行惡意程式碼的重大漏洞

背景圖片取自Arnold Francisca on Unsplash

開源碼程式語言R被發現有一個允許攻擊者執行惡意程式碼的重大漏洞,開發機構本周發布新版修補。

本漏洞為資安業者HiddenLayer研究人員Kasimir Schulz和Kieran Evans通報,命名為CVE-2024-27322。CERT公告說明,最新漏洞為一反序列化(deserialization)瑕疵,允許惡意檔案在反序列化時執行任意程式碼。這項攻擊若牽涉套件,則可能引發供應鏈攻擊。本漏洞風險值被列為8.8。

R語言支援資料序列化(data serialization)。序列化是指將物件轉換成可儲存格式,反序列化則是將儲存格式轉換成物件。序列化和反序列化發生在資料儲存及網路上傳輸,對開發人員來說,也經常發生在程式開發過程中:從套件庫下載套件即牽涉反序列化。但序列化與反序列化過程很容易遭到惡意人士濫用。

R語言開發使用RDS檔案格式進行序列化資料的儲存或傳送。RDS格式包括二種:.rdb檔及.rdx檔。R程式執行過程使用readRDS函式從套件庫讀取這二種檔案,再以eva1函式評估檔案中的表達式(expression)的值,以便將物件由RDS檔解壓縮並反序列化,在目標平臺上執行。

研究人員指出,CVE-2024-27322即牽涉R程式序列化/反序列化過程中,利用 promise物件及惰性求值(lazy evaluation)。在反序列化載入RDS檔或套件時,由於R支援惰性求值(lazy evaluation),未能及時檢查Promise物件RDS檔中的指令值。攻擊者可建立包含有特定指令值的RDS檔,再以社交工程誘使使用者下載。因此若是惡意RDS檔,則使用者程式參照RDS檔時就會直接執行指令程式碼。若物件是組譯成R套件,攻擊者可將之加入R儲存庫中,等其他使用者載入該套件時即執行程式碼。研究人員指出,一旦攻擊者只要能覆寫掉原本的.rdx或.rdb檔,就能以R套件發動供應鏈攻擊。

不過在獲得通報後,R語言開發單位已發布新版本R Core Version 4.4.0解決這項漏洞。安全廠商呼籲開發人員儘速更新。

熱門文章
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
首頁
遊戲
合作
發現
我的