R защищает данные от кибератак с новым обновлением

Программисты и организации по всему миру могут вздохнуть спокойно после последнего обновления языка программирования R. Новая версия R 4.4.0 включает в себя исправление серьезной уязвимости, которая ранее позволяла хакерам внедрять вредоносный код через процесс десериализации данных.

Уязвимость, обозначенная как CVE-2024-27322 и оцененная на 8.8 балла по шкале CVSS, была связана с ошибкой в десериализации форматов JSON, XML и binary. Такие данные часто используются для восстановления объектов программного кода из их машиночитаемой формы. Особенно опасно это становилось в среде R, где широко применяются ленивые вычисления и объекты обещания, что могло привести к автоматическому выполнению вредоносного кода при загрузке зараженных файлов RDS.

Эта уязвимость могла иметь серьезные последствия для цепочек поставок программного обеспечения, особенно в таких областях, как финансовые услуги, здравоохранение и научные исследования, где R активно используется для обработки больших объемов данных.

Специалисты из компании HiddenLayer, которые первыми обнаружили этот недочет, предупредили разработчиков, что подобная проблема может затронуть тысячи систем. В ответ на это сообщение, разработчики R быстро приступили к работе над исправлением, которое теперь доступно в последней версии языка программирования.

Эксперты настоятельно рекомендуют всем пользователям и организациям, использующим R, обновиться до версии 4.4.0, чтобы защитить свои системы от потенциальных кибератак.