Plataforma
windows
Componente
r-gui
Corrigido em
3.5.1
A vulnerabilidade CVE-2018-25258 é um estouro de buffer localizado no diálogo de preferências do RGui versão 3.5.0. Essa falha permite que atacantes contornem as proteções DEP (Data Execution Prevention) através da exploração do tratamento de exceções estruturadas, possibilitando a execução de código arbitrário. A vulnerabilidade pode ser explorada injetando dados maliciosos no campo 'Language for menus and messages'. Atualmente, não há uma correção oficial disponível para esta vulnerabilidade.
A CVE-2018-25258 afeta o RGui versão 3.5.0, apresentando uma vulnerabilidade de estouro de buffer local no diálogo de preferências da GUI. Um atacante local pode explorar essa falha para executar código arbitrário no sistema. A vulnerabilidade reside no campo 'Idioma para menus e mensagens', onde uma entrada maliciosa pode acionar um estouro de buffer na pilha, permitindo que as proteções DEP sejam contornadas por meio de exploração de tratamento de exceções estruturado. O atacante pode criar uma cadeia ROP para alocação VirtualAlloc, facilitando a execução de código. A gravidade da vulnerabilidade é classificada como 8,4 na escala CVSS, indicando um risco significativo. Nenhum fix oficial foi lançado para esta vulnerabilidade.
A exploração da CVE-2018-25258 requer acesso local ao sistema em execução do RGui 3.5.0. O atacante deve ser capaz de manipular o campo 'Idioma para menus e mensagens' no diálogo de preferências da GUI. O ataque envolve a criação de uma entrada maliciosa para causar um estouro de buffer na pilha. O atacante então aproveita as técnicas de tratamento de exceções estruturado para contornar as proteções DEP e construir uma cadeia ROP que permita a alocação de memória VirtualAlloc. Finalmente, o atacante pode executar código arbitrário no contexto do processo RGui. A complexidade do ataque é moderada, exigindo um entendimento básico da arquitetura do sistema e das técnicas de exploração de estouro de buffer.
Users of RGui versions 3.5.0 through 3.5.0 are at risk, particularly those who allow untrusted users access to the application's preferences dialog. Systems where RGui is used for sensitive tasks or data processing are at higher risk due to the potential for arbitrary code execution.
• windows / supply-chain:
Get-Process -Name RGui | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='Microsoft-Windows-SysInternals-Autoruns']]]'• windows / supply-chain: Check registry keys for unusual entries related to RGui startup or configuration. • windows / supply-chain: Monitor for suspicious processes with unusual command-line arguments or parent processes.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
Como não há um fix oficial disponível, a principal mitigação é evitar o uso do RGui versão 3.5.0. Se o uso do RGui for essencial, restrinja o acesso à GUI a usuários confiáveis com privilégios mínimos. Monitorar a atividade do sistema em busca de comportamento suspeito pode ajudar a detectar possíveis ataques. Também é aconselhável aplicar as melhores práticas de segurança, como manter o sistema operacional e outros aplicativos atualizados com os patches de segurança mais recentes. A migração para uma versão mais recente do RGui, se disponível, é a solução mais eficaz a longo prazo. A falta de um patch oficial enfatiza a importância dessas medidas preventivas.
Actualice a una versión corregida de RGui. La versión 3.5.0 es la última versión afectada, por lo que se recomienda actualizar a una versión posterior si está disponible. Verifique el sitio web del proyecto R para obtener más información sobre las actualizaciones.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um estouro de buffer ocorre quando um programa escreve dados além do limite alocado de um buffer, potencialmente sobrescrevendo dados adjacentes e permitindo a execução de código malicioso.
DEP (Data Execution Prevention) é um recurso de segurança que impede a execução de código de regiões de memória marcadas como não executáveis, como a pilha ou o heap.
ROP (Return-Oriented Programming) é uma técnica de exploração que utiliza trechos de código existentes (gadgets orientados a retorno) na memória para construir uma cadeia de operações que permitem a um atacante executar código arbitrário.
Não, a CVE-2018-25258 requer acesso local ao sistema afetado. Não pode ser explorada remotamente.
Recomenda-se fortemente interromper o uso do RGui 3.5.0. Se necessário, restrinja o acesso à GUI e monitore a atividade do sistema.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.