Je hebt een klacht over de onderstaande posting:
Door Erik van Straten: Het risico is hier dat juist privileged gebruikers (Administrator, backup operators etc) cmd.exe draaien en daarmee (al dan niet via batchfiles) environmentvariabelen, gerelateerd aan paden, verwerken (zoals %CD%, %~0 en %~f0) - waarbij die paden door untrusted en minder privileged users kunnen zijn gemaakt. ... en waarbij die paden niet op de juiste manier quoted zijn. Ik neem meteen aan dat veel WIndows .bat files wat dat betreft gammel zijn, maar daarmee is het nog geen vulnerability van cmd.exe. Want in bash kun je die fouten ook maken, dat gaf ik al aan. Wat het hooguit in cmd.exe (en command.com) erger maakt is dat er speciale afhandeling in zit waardoor dingen als het weglaten van de spatie tussen CD en een directorynaam niet erg is, cd doet ie evengoed wel. En dat het hele afhandelen van quoting in die programma's een beetje een zootje is, waardoor het voor de naieve programmeur totaal onduidelijk is waar quotes nu wel en waar niet nodig zijn. Microsoft denkt wellicht ...
Beschrijf je klacht (Optioneel):