Daniel Stenberg, mpanoratra fitaovana iray handraisana sy handefasana angona amin'ny tambajotra curl, dia nanakiana ny fampiasana fitaovana AI rehefa mamorona tatitra momba ny vulnerability. Ny tatitra toy izany dia ahitana fampahalalana amin'ny antsipiriany, nosoratana tamin'ny fiteny mahazatra ary mijery kalitao avo lenta, saingy raha tsy misy famakafakana am-pitandremana raha ny marina dia mety hamitaka fotsiny izy ireo, manolo ny tena olana amin'ny votoaty fako tsara.
Ny tetikasa Curl dia mandoa valisoa amin'ny famantarana ireo fahalemena vaovao ary efa nahazo tatitra 415 momba ny olana mety hitranga, ka ny 64 amin'ireo ihany no voamarina ho marefo ary ny 77 dia tsy misy fiarovana. Noho izany, ny 66% amin'ny tatitra rehetra dia tsy nahitana fampahalalana mahasoa ary naka fotoana fotsiny tamin'ny mpamorona izay mety ho lany amin'ny zavatra mahasoa.
Ny mpamorona dia voatery mandany fotoana betsaka amin'ny fanaparitahana tatitra tsy misy ilΓ na azy ary manamarina imbetsaka ny vaovao voarakitra ao, satria ny kalitao ivelany amin'ny famolavolana dia miteraka fahatokisana fanampiny amin'ny fampahalalana ary misy ny fahatsapana fa diso ny hevitry ny mpamorona. Amin'ny lafiny iray, ny famokarana tatitra toy izany dia mitaky ezaka kely avy amin'ny mpangataka, izay tsy manelingelina ny fanamarinana ny tena olana, fa mandika an-jambany fotsiny ny angon-drakitra voaray avy amin'ny mpanampy AI, manantena vintana amin'ny tolona hahazoana valisoa.
Ohatra roa amin'ny tatitra momba ny fako toy izany no omena. Ny andro talohan'ny fampahafantarana vaovao momba ny vulnerability mampidi-doza tamin'ny Oktobra (CVE-2023-38545), dia nisy tatitra nalefa tamin'ny alΓ lan'ny Hackerone fa ny patch miaraka amin'ny fanamboarana dia navoaka ampahibemaso. Raha ny marina, ny tatitra dia nahitana zava-misy mifangaro momba ny olana mitovitovy amin'izany sy ny sombintsombin'ny fampahalalana amin'ny antsipiriany momba ny vulnerability taloha nangonin'ny Bard, mpanampy AI an'ny Google. Vokatr'izany, ny vaovao dia toa vaovao sy manan-danja, ary tsy misy ifandraisany amin'ny zava-misy.
Ny ohatra faharoa dia mikasika ny hafatra voaray tamin'ny 28 Desambra momba ny firongatry ny buffer ao amin'ny mpitantana ny WebSocket, nalefan'ny mpampiasa iray izay efa nampahafantatra tetikasa isan-karazany momba ny vulnerability amin'ny alΓ lan'ny Hackerone. Amin'ny maha-mety hamerenana ny olana, ny tatitra dia nahitana teny ankapobeny momba ny fandefasana fangatahana novaina miaraka amin'ny sanda lehibe kokoa noho ny haben'ny buffer ampiasaina rehefa mandika amin'ny strcpy. Ny tatitra ihany koa dia nanome ohatra iray amin'ny fanitsiana (ohatra fanoloana ny strcpy amin'ny strncpy) ary nanondro rohy mankany amin'ny andalana misy kaody "strcpy(keyval, randstr)", izay, araka ny voalazan'ny mpangataka, dia misy hadisoana.
Ny developer dia nanamarina ny zava-drehetra in-telo ary tsy nahita olana, fa satria nosoratana tamim-pahatokiana ilay tatitra ary nisy fanitsiana mihitsy aza, dia nisy ny fahatsapana fa misy zavatra tsy hita any ho any. Andrana hanazavana ny fomba nahafahan'ny mpikaroka namakivaky ny fisavana habe mibaribary mialoha ny fiantsoana strcpy sy ny fomba nahatonga ny haben'ny buffer keyval ho kely noho ny haben'ny angon-drakitra novakiana dia nitarika tamin'ny antsipiriany, saingy tsy nitondra fampahalalana fanampiny, fanazavana. izay nitsako fotsiny ny antony mahazatra mibaribary amin'ny fihoaran'ny buffer tsy mifandray amin'ny code Curl manokana. Ny valiny dia mampahatsiahy ny fifandraisana amin'ny mpanampy AI, ary rehefa avy nandany antsasak'andro tamin'ny fikasana tsy misy dikany mba hahitana hoe ahoana no isehoan'ilay olana, dia resy lahatra ihany ilay mpamorona fa tsy misy vulnerable.
Source: opennet.ru