Daniel Stenberg, tusitala o se aoga mo le mauaina ma le auina atu o faʻamatalaga i luga o le fesoʻotaʻiga curl, faitioina le faʻaogaina o meafaigaluega AI pe a fatuina lipoti vaivai. O ia lipoti e aofia ai faʻamatalaga auʻiliʻili, o loʻo tusia i le gagana masani ma foliga maualuga, ae a aunoa ma se iloiloga mafaufau i le mea moni e mafai ona latou faʻasesēina, suia ai faʻafitauli moni i le tulaga lelei o lapisi.
O le poloketi Curl e totogi taui mo le faʻailoaina o faʻafitauli fou ma ua uma ona maua lipoti 415 o faʻafitauli faʻafitauli, lea e naʻo le 64 na faʻamaonia o ni faʻafitauli ma le 77 e le o se puipuiga malu. O le mea lea, 66% o lipoti uma e leʻi i ai ni faʻamatalaga aoga ma na o le faʻaaluina o le taimi mai le au atinaʻe e ono faʻaalu i se mea aoga.
E faʻamalosia le au atinaʻe e faʻaumatia le tele o le taimi e faʻasalalau ai lipoti le aoga ma faʻalua le siakiina o faʻamatalaga o loʻo i ai iina i le tele o taimi, talu ai o le tulaga i fafo o le mamanu e faʻaopoopoina ai le mautinoa i le faʻamatalaga ma o loʻo i ai se lagona e le malamalama le tagata atiaʻe i se mea. I le isi itu, o le fatuina o sea lipoti e manaʻomia ai se taumafaiga itiiti mai le tagata talosaga, e le faʻalavelaveina le siakiina o se faʻafitauli moni, ae na o le kopi tauaso o faʻamatalaga na maua mai fesoasoani AI, ma faʻamoemoe mo le laki i le tauiviga e maua se taui.
E lua faʻataʻitaʻiga o ia lipoti lapisi o loʻo tuʻuina atu. O le aso aʻo lumanaʻi le fuafuaina o le faʻaalia o faʻamatalaga e uiga i le faʻalavelave mataʻutia o Oketopa (CVE-2023-38545), na tuʻuina atu se lipoti e ala i le Hackerone e faʻapea o le patch ma le faʻapipiʻi ua faʻaalia lautele. O le mea moni, o le lipoti o loʻo i ai se faʻafefiloi o mea moni e uiga i faʻafitauli tutusa ma snippets o faʻamatalaga auʻiliʻili e uiga i faʻafitauli ua tuanai na tuufaatasia e le Google's AI fesoasoani Bard. O se taunuuga, o le faʻamatalaga e foliga fou ma talafeagai, ma e leai se fesoʻotaʻiga ma mea moni.
O le faʻataʻitaʻiga lona lua e faʻatatau i se feʻau na maua i le aso 28 o Tesema e uiga i se paʻu faʻafefe i le WebSocket handler, na lafoina e se tagata faʻaoga ua uma ona logoina galuega eseese e uiga i faʻafitauli e ala i le Hackerone. I le avea ai o se auala e toe faʻaleleia ai le faʻafitauli, o le lipoti na aofia ai upu lautele e uiga i le pasia o se talosaga faʻaleleia ma se tau e sili atu nai lo le tele o le paʻu na faʻaaogaina pe a kopiina ma strcpy. Na maua foi e le lipoti se faʻataʻitaʻiga o se faʻasaʻoga (o se faʻataʻitaʻiga o le suia o le strcpy i le strncpy) ma faʻaalia se fesoʻotaʻiga i le laina o le code "strcpy(keyval, randstr)", lea, e tusa ai ma le tagata talosaga, o loʻo i ai se mea sese.
Na toe siaki faatolu e le tagata atiae mea uma ma e leʻi maua ai ni faʻafitauli, ae talu ai na tusia le lipoti ma le mautinoa ma o loʻo i ai foi se faasaʻoga, sa i ai se lagona o loʻo misi se mea. O se taumafaiga e faʻamalamalama pe faʻapefea ona mafai e le tagata suʻesuʻe ona pasia le siaki manino o loʻo i ai i luma o le strcpy call ma pe faʻafefea ona laʻititi le lapoʻa o le keyval buffer nai lo le tele o faʻamatalaga faitau na taʻitaʻia ai auiliiliga, ae le o le aveina o faʻamatalaga faaopoopo, faʻamatalaga. na na'o le lamu i luga o mafua'aga masani masani o le paʻu o le paʻu e le fesoʻotaʻi ma le code Curl patino. O tali na faʻamanatuina le fesoʻotaʻi ma se fesoasoani AI, ma ina ua uma ona faʻaalu le afa aso i taumafaiga le aoga e saili tonu pe faʻapefea ona faʻaalia le faʻafitauli, na iu lava ina talitonu le atinaʻe e leai se faʻafitauli.
puna: opennet.ru