Daniel Stenberg, sengoli sa sesebelisoa sa ho amohela le ho romella data ka har'a marang-rang a marang-rang, o ile a nyatsa tšebeliso ea lisebelisoa tsa AI ha a theha litlaleho tsa tlokotsi. Litlaleho tse joalo li kenyelletsa tlhahisoleseding e qaqileng, e ngotsoe ka puo e tloaelehileng 'me e shebahala e le ea boleng bo phahameng, empa ntle le tlhahlobo e nahanang ha e le hantle e ka khelosa feela, e nkela mathata a sebele sebaka sa lithōle tse shebahalang hantle.
Porojeke ya Curl e lefa meputso bakeng sa ho hlwaya bofokodi bo botjha mme e se e amohile ditlaleho tse 415 tsa mathata a ka bang teng, tseo ho tsona tse 64 feela tse netefaditsweng e le bofokodi le tse 77 e le ditsitsiri tseo e seng tsa tshireletso. Kahoo, 66% ea litlaleho tsohle e ne e se na tlhahisoleseding leha e le efe e molemo 'me e ne e nka nako feela ho bahlahisi ba ka beng ba e sebelisitse ho hong ho molemo.
Bahlahisi ba tlameha ho senya nako e ngata ho hlalosa litlaleho tse se nang thuso le ho hlahloba habeli boitsebiso bo teng moo ka makhetlo a 'maloa, kaha boleng ba ka ntle ba moralo bo baka kholiseho e eketsehileng boitsebisong' me ho na le maikutlo a hore moqapi o ne a sa utloisise ntho e itseng. Ka lehlakoreng le leng, ho hlahisa tlaleho e joalo ho hloka boiteko bo fokolang ho tsoa ho mokopi, ea sa itšoenyeng ka ho hlahloba bothata ba sebele, empa ka bofofu o kopitsa boitsebiso bo fumanoeng ho bathusi ba AI, ka tšepo ea mahlohonolo ntoeng ea ho fumana moputso.
Ho fanoe ka mehlala e 'meli ea litlaleho tse joalo tsa litšila. Letsatsi pele ho phatlalatso e reriloeng ea tlhahisoleseling mabapi le ts'oaetso e kotsi ea Mphalane (CVE-2023-38545), tlaleho e rometsoe ka Hackerone hore patch e nang le tokiso e se e fumaneha phatlalatsa. Ebile, tlaleho e ne e na le lintlha tse kopaneng mabapi le mathata a ts'oanang le likaroloana tsa tlhaiso-leseling e felletseng mabapi le bofokoli ba nakong e fetileng e hlophisitsoeng ke mothusi oa Google oa AI Bard. Ka lebaka leo, litaba li ne li shebahala li le ncha ebile li le bohlokoa, 'me li ne li sa amane le 'nete.
Mohlala oa bobeli o mabapi le molaetsa o amohetsoeng ka la 28 Tšitoe mabapi le phallo ea buffer ho sebatli sa WebSocket, se rometsoeng ke mosebelisi ea neng a se a tsebisitse merero e fapaneng mabapi le bofokoli ka Hackerone. E le mokhoa oa ho hlahisa bothata hape, tlaleho e kenyelelitse mantsoe a akaretsang mabapi le ho fetisa kopo e fetotsoeng ka boleng bo boholo ho feta boholo ba buffer e sebelisoang ha u kopitsa ka strcpy. Tlaleho e boetse e fana ka mohlala oa tokiso (mohlala oa ho nkela strncpy sebaka ka strncpy) mme e bontšitse sehokelo ho mola oa khoutu "strcpy(keyval, randstr)", eo, ho latela mokopi, e nang le phoso.
Moqapi o ile a hlahloba ntho e 'ngoe le e' ngoe ka makhetlo a mararo 'me ha aa ka a fumana mathata, empa kaha tlaleho e ne e ngotsoe ka kholiseho e bile e na le khalemelo, ho ne ho e-na le maikutlo a hore ho na le ntho e haellang kae-kae. Boiteko ba ho hlakisa hore na mofuputsi o khonne ho feta tlhahlobo e hlakileng ea boholo bo teng pele ho mohala oa strcpy le hore na boholo ba "keyval buffer" bo bile tlase ho boholo ba data e baloang bo lebisitse ho lintlha tse qaqileng, empa ho se na tlhahisoleseling e eketsehileng, litlhaloso. e ileng ea hlafuna feela lisosa tse hlakileng tse tloaelehileng tsa ho phalla ha buffer tse sa amaneng le khoutu e itseng ea Curl. Likarabo li ne li hopotsa ho buisana le mothusi oa AI, 'me ka mor'a ho qeta halofo ea letsatsi ka boiteko bo se nang thuso ba ho fumana hantle hore na bothata bo iponahatsa joang, moqapi o ile a qetella a kholisehile hore ha e le hantle ha ho na ts'oaetso.
Source: opennet.ru