Разработчики Python не стали устранять обнаруженную уязвимость
Пользователь с ником kn32 обнаружил уязвимость языка Python, которая позволяет использовать системные команды, находясь в изоляции. Данные об обнаруженной проблеме он опубликовал на странице pwn.win.
Эксперты отметили, что данную проблему выявили еще в Python версии 2.7 почти 10 лет назад. Тогда ее не стали устранять, а благополучно перенесли в 3-ю версию языка программирования, поскольку разработчики решили, что данная уязвимость не представляет большой опасности.
Однако, пользователь kn32 своими действиями сумел показать, что в грамотных руках этот недостаток может стать серьезной проблемой. С помощью специального эксплойта, созданного им, он смог вызывать системную команду, работая из изолированной среды и не имея доступа к стандартным методам.
Эксперты отметили, что разработанный пользователем эксплойт, не использует какие-либо сторонние ресурсы или библиотеки, которые могут быть заблокированы системой безопасности. Он написан на абсолютно чистом Python и работает прекрасно.
