CVE-2024-3094 melibatkan penemuan kode jahat dalam paket tarball upstream xz, dimulai dari versi 5.6.0. Melalui serangkaian obfuskasi kompleks, proses pembangunan liblzma mengekstrak sebuah file objek yang telah dibangun sebelumnya dari sebuah file uji tersembunyi yang ada dalam kode sumber, yang kemudian digunakan untuk memodifikasi fungsi-fungsi spesifik dalam kode liblzma. Hal ini menghasilkan sebuah library liblzma yang dimodifikasi yang dapat digunakan oleh perangkat lunak mana pun yang terhubung dengan library ini, dengan cara mencegat dan memodifikasi interaksi data dengan library ini.
CWE ini mengacu pada kode yang terdapat dalam produk yang tampaknya bersifat jahat. Kerentanan jahat telah diberi nama-nama yang beragam. Seorang pengembang mungkin menyisipkan kode jahat dengan tujuan untuk merusak keamanan produk atau sistem hostnya di masa mendatang.
UNDUH: Imbauan Keamanan Kerantanan Paket XZ Versi 5.6.0 dan 5.6.1 Mengandung Kode Jahat
CWE ini mengacu pada kode yang terdapat dalam produk yang tampaknya bersifat jahat. Kerentanan jahat telah diberi nama-nama yang beragam. Seorang pengembang mungkin menyisipkan kode jahat dengan tujuan untuk merusak keamanan produk atau sistem hostnya di masa mendatang.
UNDUH: Imbauan Keamanan Kerantanan Paket XZ Versi 5.6.0 dan 5.6.1 Mengandung Kode Jahat