Windowsで動くプログラミング言語に脆弱性、引数の扱い方の穴を突いて攻撃

CERT Coordination Center (CERT/CC, Carnegie Mellon University)は4月10日(米国時間)、「VU#123335 - Multiple programming languages fail to escape arguments properly in Microsoft Windows」において、Windows上で動作する複数のプログラミング言語から引数を適切にエスケープしない脆弱性を発見したと報じた。この脆弱性はアプリケーションのコマンドインジェクションにつながるとして注意を呼びかけている。 VU#123335 - Multiple programming languages fail to escape arguments properly in Microsoft Windows 脆弱性の詳細 多くのプログラミング言語にはオ

[demandosigno]

参考https://flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows/「この問題はほとんどのアプリケーションには影響しませんが万が一影響を受けた場合はコマンド引数を手動で適切にエスケープする必要があります」

[nekopon44]

外部プロセスを起動できる仕掛けを持ってるやつが軒並み引っ掛かる可能性あり (yt-dlpもそれ)

[vndn]

『yt-dlp バージョン2024.04.09より前のバージョン』なんだこりゃ

[prozorec]

yt-dlpはプログラミング言語じゃないだろう

[sgo2]

言語内部の仕組みを熟知してないと気付きにくいタイミングでインジェクション攻撃が成立するという事かと。

[kazuau]

想定される攻撃者は誰なの？プログラムを使う人なのであれば、実用的にはほとんどの環境で問題なさそう。(信頼できない人からの入力を受け付けてそれを引数に外部プロセスを起動する環境で問題かな？)