Beheerders van de Rust -programmeertaal hebben gewaarschuwd voor een kritieke kwetsbaarheid waarmee aanvallers bestanden en mappen kunnen verwijderen.
Bron: Developer Tech News
In een beveiligingsadvies schreef de Rust Security Response Working Group:
“De Rust Security Response WG is op de hoogte gebracht dat de standaardbibliotheekfunctie std::fs::remove_dir_all kwetsbaar is voor een race-conditie die symlink-volging mogelijk maakt (CWE-363).
Een aanvaller zou dit beveiligingsprobleem kunnen gebruiken om een bevoorrecht programma te misleiden om bestanden en mappen te verwijderen die de aanvaller anders niet zou kunnen openen of verwijderen.”
Rust 1.0.0 tot en met Rust 1.58.0 wordt getroffen door het beveiligingslek. Rust 1.58.1 is vrijgegeven, inclusief oplossingen voor het probleem.
De beheerders waarschuwen dat macOS-versies ouder dan 10.10 (Yosemite) en REDOX “geen bruikbare API’s hebben om de aanval goed af te wenden, en dus nog steeds kwetsbaar zijn, zelfs met een gepatchte toolchain.”
Rust is nog niet de meest gebruikte programmeertalen geworden, maar is de laatste jaren enorm populair geworden.
In de Stack Overflow Survey 2021 behield Rust voor het zesde achtereenvolgende jaar zijn kroon als de meest geliefde taal. De taal moet echter nog de top 10 voor gebruik kraken – komt op de 16e plaats, net achter Kotlin en één plek voor Ruby.
Vorig jaar kreeg Rust zijn eigen onafhankelijke stichting om het gebruik van Rust te helpen promoten en stimuleren “als een technologie die klaar is voor bedrijfsproductie”. Vijf grote bedrijven steunen de Rust Foundation: Microsoft, Huawei, Google, AWS en natuurlijk Mozilla.
Slechts een paar maanden na zijn toetreding tot de Rust Foundation, kondigde Google aan dat het ondersteuning voor de taal aan Android toevoegt om fouten in het geheugen te voorkomen.
“Het Android-besturingssysteem maakt veel gebruik van Java, waardoor grote delen van het Android-platform effectief worden beschermd tegen geheugenfouten. Helaas zijn Java en Kotlin voor de lagere lagen van het besturingssysteem geen optie”, legt Google uit.
“Rust biedt geheugenveiligheidsgaranties door een combinatie van compile-time-controles te gebruiken om de levensduur / eigendom van objecten af te dwingen en runtime-controles om ervoor te zorgen dat geheugentoegangen geldig zijn.”