Sicherheitslücke in Rust-Standardbibliothek unter Windows geschlossen

Die Entwickler der Programmiersprache Rust haben eine Sicherheitslücke in der Rust-Standardbibliothek behoben, die speziell unter Windows auftritt. Das klingt ja schon mal nach einer guten Nachricht für alle Windows-Nutzer da draußen, die mit Rust herumjonglieren.

Die Schwachstelle wurde von einem gewissen RyotaK von Flatt Security entdeckt und bekam den klangvollen Namen “BatBadBut” verpasst. Klingt fast wie ein tollpatschiger Superheld, der statt Verbrecher zu bekämpfen, versehentlich seine eigene Unterhose über den Kopf zieht. Aber gut, das nur nebenbei.

Die Sicherheitslücke erlaubte es Angreifern, beliebige Shell-Befehle auszuführen, indem sie die an aufgerufene Prozesse übergebenen Argumente kontrollierten. Das klingt so, als würde man jemandem erlauben, in der Küche mit einer scharfen Klinge herumzufuchteln und darauf zu hoffen, dass er nur harmlose Tomaten schneidet. Natürlich nicht gerade die beste Idee.

Dieses Problem trat auf, wenn Batch-Dateien mit den Dateiendungen .bat oder .cmd aufgerufen wurden und die Argumente nicht ausreichend gefiltert wurden. Das ist in etwa so, als würde man einen Türsteher einstellen, der jeden, der den Club betreten will, einfach so durchwinkt, ohne nach dem Ausweis zu fragen. Kein Wunder, dass da die Sicherheit auf der Strecke bleibt.

Aber keine Sorge, die Entwickler von Rust haben das Problem erkannt und eine Lösung parat. Sie empfehlen allen Windows-Nutzern, ihre Rust-Version auf 1.77.2 oder eine neuere Version zu aktualisieren. Das geht ganz einfach mit dem Befehl “rustup update stable”. Ein Klick hier, ein Klick da, und schon ist die Sicherheitslücke geschlossen. Vielleicht sollten wir das auch bei anderen Dingen im Leben so machen. “rustup update stable” für die defekte Kaffeemaschine, “rustup update stable” für den undichten Wasserhahn. Klingt nach einer guten Idee, oder?

Es ist jedoch wichtig zu erwähnen, dass diese Sicherheitslücke nur unter Windows auftritt. Also Mac- und Linux-Nutzer können beruhigt weiterprogrammieren, ohne sich Gedanken um BatBadBut machen zu müssen. Es ist immer schön, wenn man als Nicht-Windows-Benutzer mal von einer Sicherheitslücke verschont bleibt. Das nennen wir wohl einen kleinen Trostpreis für all die Jahre, in denen wir uns mit der Kompatibilität von Programmen rumärgern mussten.

Die Entwickler von Rust arbeiten bereits an weiteren Updates, um die Sicherheit der Programmiersprache weiter zu verbessern. Man kann ihnen nur dankbar sein, dass sie sich um unsere Sicherheit kümmern, während wir uns mit dem Programmieren herumschlagen. In einer Welt voller BatBadButs brauchen wir Helden wie die Rust-Entwickler, die unsere Software-Welt ein Stück sicherer machen. Also weiter so, ihr Helden in der Nacht!

Schlagwörter: Windows + BatBadBut + CVE-2024-24576

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 10. April 2024