ʻO Daniel Stenberg, ka mea kākau o kahi pono no ka loaʻa ʻana a me ka hoʻouna ʻana i ka ʻikepili ma luna o ka curl network, hoʻohewa i ka hoʻohana ʻana i nā mea hana AI i ka wā e hana ai i nā hōʻike pilikino. ʻO ia mau hōʻike e pili ana i ka ʻike kikoʻī, kākau ʻia ma ka ʻōlelo maʻamau a nānā i ke kūlana kiʻekiʻe, akā me ka ʻole o ka noʻonoʻo ʻana i ka ʻoiaʻiʻo hiki ke alakaʻi hewa wale lākou, e hoʻololi i nā pilikia maoli me nā ʻōpala maikaʻi.
Hāʻawi ka papahana Curl i nā uku no ka ʻike ʻana i nā nāwaliwali hou a ua loaʻa iā ia he 415 mau hōʻike o nā pilikia e hiki mai ana, a ʻo 64 wale nō i hōʻoia ʻia he mau nāwaliwali a me 77 he mau mea palekana ʻole. No laila, ʻo 66% o nā hōʻike a pau ʻaʻole i loaʻa kahi ʻike pono a lawe wale i ka manawa mai nā mea hoʻomohala i hiki ke hoʻohana ʻia ma kahi mea pono.
Ke koi ʻia nei nā mea hoʻomohala e hoʻopau i ka manawa nui e hoʻopau i nā hōʻike pono ʻole a nānā pālua i ka ʻike i loaʻa i laila i nā manawa he nui, ʻoiai ʻo ka maikaʻi o waho o ka hoʻolālā e hoʻokumu i ka hilinaʻi hou aʻe i ka ʻike a aia kahi manaʻo ua kuhihewa ka mea hoʻomohala i kekahi mea. Ma ka ʻaoʻao ʻē aʻe, ʻo ka hoʻopuka ʻana i ia hōʻike e koi aku i ka hoʻoikaika liʻiliʻi mai ka mea noi, ʻaʻole ia e hoʻopilikia i ka nānā ʻana i kahi pilikia maoli, akā e kope makapō wale i ka ʻikepili i loaʻa mai nā mea kōkua AI, me ka manaʻolana no ka laki i ka hakakā ʻana e loaʻa ka uku.
Hāʻawi ʻia ʻelua mau laʻana o ia hōʻike ʻōpala. ʻO ka lā ma mua o ka hoʻolaha ʻia ʻana o ka ʻike e pili ana i ka nāwaliwali o ʻOkakopa (CVE-2023-38545), ua hoʻouna ʻia kahi hōʻike ma o Hackerone ua loaʻa i ka lehulehu ka patch me ka hoʻoponopono. ʻO ka ʻoiaʻiʻo, aia ka hōʻike i kahi hui o nā ʻoiaʻiʻo e pili ana i nā pilikia like a me nā snippets o ka ʻike kikoʻī e pili ana i nā nāwaliwali i hala i hōʻuluʻulu ʻia e ke kōkua kōkua o Google ʻo Bard. ʻO ka hopena, he mea hou a pili ka ʻike, ʻaʻohe pili me ka ʻoiaʻiʻo.
ʻO ka lua o ka laʻana e pili ana i kahi leka i loaʻa i ka lā 28 Dekemaba e pili ana i ka hoʻonui ʻana o ka buffer i ka mea hoʻohana WebSocket, i hoʻouna ʻia e kahi mea hoʻohana i haʻi mua i nā papahana like ʻole e pili ana i nā nāwaliwali ma o Hackerone. Ma ke ʻano o ka hana hou ʻana i ka pilikia, ua hoʻokomo ʻia ka hōʻike i nā huaʻōlelo maʻamau e pili ana i ka hāʻawi ʻana i kahi noi i hoʻololi ʻia me ka waiwai nui ma mua o ka nui o ka buffer i hoʻohana ʻia i ke kope ʻana me strcpy. Ua hāʻawi pū ka hōʻike i kahi laʻana o ka hoʻoponopono (kahi laʻana o ka hoʻololi ʻana iā strcpy me strncpy) a hōʻike i kahi loulou i ka laina o ke code "strcpy(keyval, randstr)", e like me ka mea noi, aia kahi hewa.
Ua hoʻopaʻa pālua ka mea hoʻomohala i nā mea āpau i ʻekolu manawa a ʻaʻole i loaʻa kekahi pilikia, akā no ka mea ua kākau ʻia ka hōʻike me ka wiwo ʻole a loaʻa i kahi hoʻoponopono, aia kekahi manaʻo ua nalowale kekahi mea ma kahi. ʻO kahi hoʻāʻo e wehewehe pehea i hiki ai i ka mea noiʻi ke kāpae i ka helu kikoʻī kikoʻī i loaʻa ma mua o ke kelepona strcpy a pehea ka nui o ka pahu kī i ka liʻiliʻi ma mua o ka nui o ka ʻikepili heluhelu i alakaʻi ʻia i nā kikoʻī, akā ʻaʻole lawe i ka ʻike hou aku, wehewehe. ka mea i nau wale i nā kumu maʻamau o ka buffer overflow ʻaʻole pili i ke code Curl kikoʻī. Hoʻomanaʻo nā pane i ke kamaʻilio ʻana me kahi mea kōkua AI, a ma hope o ka hoʻolilo ʻana i ka hapalua lā i nā hoʻāʻo ʻole e ʻike i ke ʻano o ka hōʻike ʻana o ka pilikia iā ia iho, ua manaʻo hope loa ka mea hoʻomohala ʻaʻohe pilikia.
Source: opennet.ru