Cháin Daniel Stenberg, údar fóntais chun sonraí a fháil agus a sheoladh thar an gcuar líonra, úsáid uirlisí AI agus tuarascálacha leochaileachta á gcruthú. Áirítear i dtuarascálacha den sórt sin faisnéis mhionsonraithe, scríobhtar iad i ngnáththeanga agus cuma ardcháilíochta orthu, ach gan anailís mhachnamhach i ndáiríre ní féidir leo a bheith ach míthreorach, ag cur in ionad fíorfhadhbanna le hábhar truflais a bhreathnaíonn ar chaighdeán.
Íocann an tionscadal Curl luach saothair as leochaileachtaí nua a aithint agus fuair sé cheana féin 415 tuairisc ar fhadhbanna féideartha, nár deimhníodh ach 64 díobh mar leochaileachtaí agus 77 mar fhabhtanna neamhshlándála. Mar sin, ní raibh aon fhaisnéis úsáideach i 66% de na tuarascálacha go léir agus níor thóg sé ach am ó fhorbróirí a d’fhéadfaí a chaitheamh ar rud éigin úsáideach.
Cuirtear iallach ar fhorbróirí go leor ama a chur amú ag parsáil tuairiscí gan úsáid agus ag seiceáil faoi dhó ar an bhfaisnéis atá ann arís agus arís eile, ós rud é go gcruthaíonn cáilíocht sheachtrach an dearadh muinín bhreise san fhaisnéis agus go mbraitheann an forbróir gur thuig an forbróir rud éigin. Ar an láimh eile, chun tuarascáil den sórt sin a ghiniúint éilíonn an t-iarratasóir iarracht íosta, nach bhfuil bac a sheiceáil le haghaidh fadhb fíor, ach go simplí a chóipeáil blindly na sonraí a fuarthas ó chúntóirí AI, ag súil le luck sa streachailt chun luach saothair a fháil.
Tugtar dhá shampla de thuarascálacha truflais den sórt sin. An lá roimh an nochtadh pleanáilte faisnéise faoin leochaileacht chontúirteach i mí Dheireadh Fómhair (CVE-2023-38545), seoladh tuarascáil trí Hackerone go raibh an paiste leis an bhfeistiú curtha ar fáil go poiblí. Go deimhin, bhí meascán fíricí sa tuarascáil faoi fhadhbanna comhchosúla agus sníomhanna d'eolas mionsonraithe faoi leochaileachtaí san am atá caite a thiomsaigh Bard cúnta AI Google. Mar thoradh air sin, d'fhéach an fhaisnéis nua agus ábhartha, agus ní raibh aon bhaint aige leis an réaltacht.
Baineann an dara sampla le teachtaireacht a fuarthas an 28 Nollaig faoi ró-sreabhadh maoláin sa láimhseálaí WebSocket, a sheol úsáideoir a chuir tionscadail éagsúla ar an eolas cheana féin faoi leochaileachtaí trí Hackerone. Mar mhodh chun an fhadhb a atáirgeadh, chuimsigh an tuarascáil focail ghinearálta faoi iarratas modhnaithe a rith le luach níos mó ná méid an mhaoláin a úsáideadh nuair a bhítear ag cóipeáil le strcpy. Sholáthair an tuarascáil freisin sampla de cheartú (sampla de strncpy a chur in ionad strcpy) agus léirigh sí nasc leis an líne cóid “strcpy(keyval, randstr)”, a raibh earráid ann, dar leis an iarratasóir.
Rinne an forbróir seiceáil faoi dhó ar gach rud trí huaire agus níor tháinig sé ar aon fhadhbanna, ach ós rud é go raibh an tuarascáil scríofa go muiníneach agus fiú go raibh ceartúchán ann, bhraitheadh go raibh rud éigin ar iarraidh áit éigin. Mar thoradh ar iarracht soiléiriú a dhéanamh ar conas a d’éirigh leis an taighdeoir an seiceáil sainráite méide a bhí i láthair roimh an nglao strcpy a sheachbhóthar agus conas a d’éirigh le méid an mhaoláin eochrach a bheith níos lú ná méid na sonraí a léadh, tháinig míniúcháin mhionsonraithe ach gan faisnéis bhreise a iompar. nach raibh ach coganta ar na cúiseanna coitianta soiléire a bhaineann le ró-shreabhadh maolánach nach mbaineann le sainchód Curl. Bhí na freagraí ag meabhrú ar chumarsáid le cúntóir AI, agus tar éis leath lae a chaitheamh ar iarrachtaí gan phointe chun a fháil amach go díreach conas a tháinig an fhadhb chun cinn, bhí an forbróir cinnte ar deireadh nach raibh aon leochaileacht ann i ndáiríre.
Foinse: oscailtenet.ru