Plateforme
windows
Composant
r-gui
Corrigé dans
3.5.1
Une vulnérabilité de débordement de tampon a été découverte dans RGui, affectant la version 3.5.0. Cette faille permet à un attaquant local d'exploiter la gestion des exceptions structurées pour contourner les protections DEP et potentiellement exécuter du code arbitraire. L'exploitation se produit en injectant des données malveillantes dans le champ « Langue pour les menus et les messages » du dialogue des préférences de l'interface graphique. Actuellement, aucune solution officielle n'est disponible pour corriger cette vulnérabilité.
La CVE-2018-25258 affecte RGui version 3.5.0, présentant une vulnérabilité de débordement de tampon local dans le dialogue de préférences de l'interface graphique (GUI). Un attaquant local peut exploiter cette faille pour exécuter du code arbitraire sur le système. La vulnérabilité se situe dans le champ 'Langue pour les menus et les messages', où une entrée malveillante peut déclencher un débordement de tampon sur la pile, permettant de contourner les protections DEP (Data Execution Prevention) par le biais d'une exploitation de la gestion des exceptions structurée. L'attaquant peut créer une chaîne ROP (Return-Oriented Programming) pour l'allocation VirtualAlloc, facilitant l'exécution de code. La gravité de la vulnérabilité est notée 8,4 sur l'échelle CVSS, indiquant un risque important. Aucun correctif officiel n'a été publié pour cette vulnérabilité.
L'exploitation de la CVE-2018-25258 nécessite un accès local au système exécutant RGui 3.5.0. L'attaquant doit être en mesure de manipuler le champ 'Langue pour les menus et les messages' dans le dialogue de préférences de l'interface graphique. L'attaque consiste à créer une entrée malveillante pour provoquer un débordement de tampon sur la pile. L'attaquant exploite ensuite des techniques de gestion des exceptions structurée pour contourner les protections DEP et créer une chaîne ROP qui permet l'allocation de mémoire via VirtualAlloc. Enfin, l'attaquant peut exécuter du code arbitraire dans le contexte du processus RGui. La complexité de l'attaque est modérée, nécessitant une compréhension de base de l'architecture du système et des techniques d'exploitation de débordement de tampon.
Users of RGui versions 3.5.0 through 3.5.0 are at risk, particularly those who allow untrusted users access to the application's preferences dialog. Systems where RGui is used for sensitive tasks or data processing are at higher risk due to the potential for arbitrary code execution.
• windows / supply-chain:
Get-Process -Name RGui | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='Microsoft-Windows-SysInternals-Autoruns']]]'• windows / supply-chain: Check registry keys for unusual entries related to RGui startup or configuration. • windows / supply-chain: Monitor for suspicious processes with unusual command-line arguments or parent processes.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
Étant donné qu'aucun correctif officiel n'est disponible, la principale mesure d'atténuation consiste à éviter d'utiliser RGui version 3.5.0. Si l'utilisation de RGui est essentielle, restreignez l'accès à l'interface graphique aux utilisateurs de confiance disposant de privilèges minimaux. Surveiller l'activité du système à la recherche de comportements suspects peut aider à détecter les attaques potentielles. Il est également conseillé d'appliquer les meilleures pratiques de sécurité, telles que le maintien à jour du système d'exploitation et des autres applications avec les derniers correctifs de sécurité. La migration vers une version plus récente de RGui, si elle est disponible, est la solution la plus efficace à long terme. L'absence de correctif officiel souligne l'importance de ces mesures préventives.
Actualice a una versión corregida de RGui. La versión 3.5.0 es la última versión afectada, por lo que se recomienda actualizar a una versión posterior si está disponible. Verifique el sitio web del proyecto R para obtener más información sobre las actualizaciones.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un débordement de tampon se produit lorsqu'un programme écrit des données au-delà de la limite d'un tampon, ce qui peut écraser des données adjacentes et potentiellement permettre l'exécution de code malveillant.
DEP (Data Execution Prevention) est une fonctionnalité de sécurité qui empêche l'exécution de code à partir de régions de mémoire marquées comme non exécutables, telles que la pile ou le tas.
ROP (Return-Oriented Programming) est une technique d'exploitation qui utilise des fragments de code existants (gadgets orientés vers le retour) dans la mémoire pour construire une chaîne d'opérations permettant à un attaquant d'exécuter du code arbitraire.
Non, la CVE-2018-25258 nécessite un accès local au système affecté. Elle ne peut pas être exploitée à distance.
Il est fortement recommandé de cesser d'utiliser RGui 3.5.0. Si cela est nécessaire, restreignez l'accès à l'interface graphique et surveillez l'activité du système.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.