Plattform
windows
Komponente
r-gui
Behoben in
3.5.1
CVE-2018-25258 describes a local buffer overflow vulnerability found in RGui versions 3.5.0 through 3.5.0. This flaw allows attackers to bypass Data Execution Prevention (DEP) protections through structured exception handling exploitation, potentially leading to arbitrary code execution. Successful exploitation requires local access and crafted input within the GUI preferences dialog's Language field.
CVE-2018-25258 betrifft RGui Version 3.5.0 und weist eine lokale Pufferüberlaufschwachstelle im GUI-Präferenzdialog auf. Ein lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Code auf dem System auszuführen. Die Schwachstelle liegt im Feld 'Sprache für Menüs und Nachrichten', wo eine bösartige Eingabe einen Pufferüberlauf auf dem Stack auslösen kann, wodurch DEP-Schutzmaßnahmen (Data Execution Prevention) durch strukturierte Ausnahmebehandlung umgangen werden können. Der Angreifer kann eine ROP-Kette (Return-Oriented Programming) für die VirtualAlloc-Zuweisung erstellen, was die Codeausführung erleichtert. Die Schwere der Schwachstelle wird auf der CVSS-Skala mit 8,4 bewertet, was ein erhebliches Risiko anzeigt. Es wurde kein offizielles Fix für diese Schwachstelle veröffentlicht.
Die Ausnutzung von CVE-2018-25258 erfordert lokalen Zugriff auf das System, auf dem RGui 3.5.0 ausgeführt wird. Der Angreifer muss in der Lage sein, das Feld 'Sprache für Menüs und Nachrichten' im GUI-Präferenzdialog zu manipulieren. Der Angriff besteht darin, eine bösartige Eingabe zu erstellen, um einen Pufferüberlauf auf dem Stack zu verursachen. Der Angreifer nutzt dann strukturierte Ausnahmebehandlungstechniken, um DEP-Schutzmaßnahmen zu umgehen und eine ROP-Kette zu erstellen, die die VirtualAlloc-Speicherzuweisung ermöglicht. Schließlich kann der Angreifer beliebigen Code im Kontext des RGui-Prozesses ausführen. Die Komplexität des Angriffs ist moderat und erfordert ein grundlegendes Verständnis der Systemarchitektur und der Pufferüberlauf-Exploitationstechniken.
Users of RGui versions 3.5.0 through 3.5.0 are at risk, particularly those who allow untrusted users access to the application's preferences dialog. Systems where RGui is used for sensitive tasks or data processing are at higher risk due to the potential for arbitrary code execution.
• windows / supply-chain:
Get-Process -Name RGui | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='Microsoft-Windows-SysInternals-Autoruns']]]'• windows / supply-chain: Check registry keys for unusual entries related to RGui startup or configuration. • windows / supply-chain: Monitor for suspicious processes with unusual command-line arguments or parent processes.
disclosure
Exploit-Status
EPSS
0.02% (4% Perzentil)
CISA SSVC
CVSS-Vektor
Da kein offizielles Fix verfügbar ist, ist die primäre Abschwächung die Vermeidung der Verwendung von RGui Version 3.5.0. Wenn die Verwendung von RGui unerlässlich ist, beschränken Sie den GUI-Zugriff auf vertrauenswürdige Benutzer mit minimalen Berechtigungen. Die Überwachung der Systemaktivität auf verdächtiges Verhalten kann dazu beitragen, potenzielle Angriffe zu erkennen. Es wird auch empfohlen, bewährte Sicherheitspraktiken anzuwenden, z. B. das System zu aktualisieren und andere Anwendungen mit den neuesten Sicherheitspatches zu versehen. Die Migration zu einer neueren Version von RGui, falls verfügbar, ist die effektivste langfristige Lösung. Das Fehlen eines offiziellen Patches unterstreicht die Bedeutung dieser präventiven Maßnahmen.
Actualice a una versión corregida de RGui. La versión 3.5.0 es la última versión afectada, por lo que se recomienda actualizar a una versión posterior si está disponible. Verifique el sitio web del proyecto R para obtener más información sobre las actualizaciones.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein Pufferüberlauf tritt auf, wenn ein Programm Daten über die zugewiesene Grenze eines Puffers schreibt, wodurch möglicherweise angrenzende Daten überschrieben werden und die Ausführung von bösartigem Code ermöglicht wird.
DEP (Data Execution Prevention) ist eine Sicherheitsfunktion, die die Codeausführung von Speicherbereichen verhindert, die als nicht ausführbar markiert sind, wie z. B. den Stapel oder den Heap.
ROP (Return-Oriented Programming) ist eine Exploitationstechnik, die vorhandene Codefragmente (Return-Oriented Gadgets) im Speicher verwendet, um eine Kette von Operationen zu erstellen, die es einem Angreifer ermöglichen, beliebigen Code auszuführen.
Nein, CVE-2018-25258 erfordert lokalen Zugriff auf das betroffene System. Sie kann nicht aus der Ferne ausgenutzt werden.
Es wird dringend empfohlen, die Verwendung von RGui 3.5.0 einzustellen. Wenn dies erforderlich ist, beschränken Sie den GUI-Zugriff und überwachen Sie die Systemaktivität.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.