カリフォルニア大学の研究では、逆シリアル化リスト内の不適切なクラスは危険であることが判明しました。
研究者らは、「すべての種類」のリストを作成し、新たな悪玉が導入されるたびにそれを更新すればよいという楽観的な考えに基づいていると述べた。
しかし、彼らの調査によると、ブラックリストが完全であることはほとんどありません。
ただし、注目すべきことに、最近の多くの非シリアライゼーション ガジェットには、サードパーティ ライブラリなどの制限が付いています。
Veeamバックアップサーバーでリモートコード実行の重大な欠陥が修正されました from csoonline.com
security summaryカリフォルニア大学の研究では、逆シリアル化リスト内の不適切なクラスは危険であることが判明しました。
研究者らは、「すべての種類」のリストを作成し、新たな悪玉が導入されるたびにそれを更新すればよいという楽観的な考えに基づいていると述べた。
しかし、彼らの調査によると、ブラックリストが完全であることはほとんどありません。
ただし、注目すべきことに、最近の多くの非シリアライゼーション ガジェットには、サードパーティ ライブラリなどの制限が付いています。
コメント