最近、Python pickle
モジュールの脆弱性に関する投稿を読みました。これにより、任意のPythonコードをunpicklingで実行できるようになります: https ://intoli.com/blog/dangerous-pickles/docs は、「信頼できない、または認証されていないソースから受信したデータを決してunpickleしないでください」とはいえ、信頼されている(ただし侵害されている)と考えられる情報源からの危険を考えることができます。
Pythonは柔軟で動的な言語であるため、ピクルスに感染する昔ながらのコンピュータウイルスを作成するためのウィザードは必要ありません。
そのようなウイルスの既知の事例はありますか?
[編集]
「ウイルス」とは、文字通り古いものを意味する "コンピュータウイルス" :他のプログラムに自分自身を追加することによって増殖するプログラム。
「ウイルス」によって「エクスプロイト」を意味する場合、次のことができますそれらを簡単に見つける StackOverflowでも 。
Pythonで記述されたWindowsなどの一般的なデスクトッププラットフォーム用のアプリケーションがほとんどなく、その可能性は低いため、これに基づいた広範囲にわたるマルウェアはおそらくないでしょうそれらのいずれかが実際にリモートデータの(非)シリアル化にpickle
を使用すること。ただし、Python開発者は、ここで誤った安心感を回避する必要があります。これは、上で示したように、このようなマルウェアを書くのは簡単すぎるためです。