Mise à jour : Le langage de programmation R open source – très populaire parmi les statisticiens et les scientifiques des données pour effectuer des visualisations, de l’apprentissage automatique, et ainsi de suite – a corrigé une faille d’exécution de code arbitraire qui a obtenu une note de gravité CVSS préliminaire de 8,8 sur 10. La vulnérabilité, identifiée sous le tag CVE-2024-27322, peut être exploitée en trompant quelqu’un pour charger un fichier RDS (sérialisation de données R) malveillamment conçu dans un projet basé sur R, ou en les incitant à intégrer un package R empoisonné dans une base de code. Ce faisant, cela déclenchera l’exécution d’une charge utile de code à l’intérieur du fichier ou du package, ce qui pourrait permettre à des fichiers de l’utilisateur d’être divulgués à une autre source, supprimer des données, ou effectuer d’autres activités malveillantes. La faille a été corrigée dans la version 4.4.0 du noyau R, qui a été publiée plus tôt ce mois-ci – il est fortement conseillé de mettre à jour dès que possible. La faille réside dans la manière dont R désérialise les données. La fonction de désérialisation intégrée à R, qui charge des informations à partir de fichiers pour les déballer dans des structures de données en mémoire, est peu sécurisée et peut être exploitée pour exécuter un code arbitraire sur la machine d’une victime. La bonne nouvelle est qu’il est assez complexe de l’exploiter, selon cette analyse de Kasimir Schulz et Kieran Evans chez HiddenLayer, un magasin de sécurité en intelligence artificielle. Pour plus de détails, consultez leur publication qui, comme ils le soulignent, « implique l’utilisation d’objets promesse et d’évaluation différée dans R ».
Menu
