Περιεχόμενα Άρθρου
- Το OSS-Fuzz της Google εντοπίζει περισσότερες από δύο δωδεκάδες ευπάθειες σε διαφορετικά έργα ανοιχτού κώδικα
- Μεταξύ αυτών είναι μια ευπάθεια στο OpenSSL που θα μπορούσε να οδηγήσει σε RCE
- Η Google το βλέπει αυτό ως σημαντικό ορόσημο στην αυτοματοποιημένη ανακάλυψη σφαλμάτων
Η Google εντόπισε 26 ευπάθειες σε διαφορετικά αποθετήρια ανοιχτού κώδικα, συμπεριλαμβανομένου ενός ελαττώματος μέσης σοβαρότητας στην «κρίσιμη βιβλιοθήκη OpenSSL που στηρίζει μεγάλο μέρος της υποδομής του Διαδικτύου».
Αυτό δεν θα ήταν πολύ νέο (η Google βοήθησε να βρεθούν χιλιάδες σφάλματα όλα αυτά τα χρόνια), αν η μέθοδος με την οποία ανακαλύφθηκαν τα ελαττώματα δεν ήταν «τεχνητή», καθώς τα σφάλματα αποκαλύφθηκαν χρησιμοποιώντας το εργαλείο fuzzing που τροφοδοτείται με AI, OSS-Fuzz.
«Αυτές οι συγκεκριμένες ευπάθειες αντιπροσωπεύουν ένα ορόσημο για την αυτοματοποιημένη εύρεση ευπάθειας: το καθένα βρέθηκε με τεχνητή νοημοσύνη, χρησιμοποιώντας στόχους fuzz που δημιουργούνται από την τεχνητή νοημοσύνη και βελτιωμένους στόχους», εξήγησε η Google σε μια ανάρτηση ιστολογίου.
Σημαντικές βελτιώσεις με τα LLM
Μεταξύ αυτών των 26 ελαττωμάτων είναι ένα σφάλμα OpenSSL που παρακολουθείται ως CVE-2024-9143. Έχει βαθμολογία σοβαρότητας 4,3 και περιγράφεται ως σφάλμα εγγραφής μνήμης εκτός ορίων που μπορεί να καταστρέψει μια εφαρμογή ή να επιτρέψει στους απατεώνες να προσαρτήσουν επιθέσεις κακόβουλου λογισμικού απομακρυσμένης εκτέλεσης κώδικα (RCE). Έκτοτε, το OpenSSL έχει αναβαθμιστεί στις εκδόσεις 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb και 1.0.2zl, για την αντιμετώπιση του ελαττώματος.
Για να κάνει τα πράγματα ακόμα πιο ενδιαφέροντα, η Google είπε ότι η ευπάθεια ήταν πιθανότατα παρούσα εδώ και δύο δεκαετίες, «και δεν θα ήταν ανιχνεύσιμη με υπάρχοντες fuzz στόχους γραμμένους από ανθρώπους».
Η ανακάλυψη σφάλματος ήρθε ως αποτέλεσμα δύο σημαντικών βελτιώσεων, εξήγησε περαιτέρω η εταιρεία. Το πρώτο είναι η δυνατότητα αυτόματης δημιουργίας πιο σχετικού πλαισίου στις προτροπές, γεγονός που καθιστά το LLM «λιγότερο πιθανό να έχει παραισθήσεις για τις λεπτομέρειες που λείπουν στην απάντησή του». Το δεύτερο περιστρέφεται γύρω από την ικανότητα του LLM να μιμείται ολόκληρη τη ροή εργασίας ενός τυπικού προγραμματιστή, συμπεριλαμβανομένης της γραφής, της δοκιμής και της επανάληψης στον στόχο fuzz, καθώς και της τριβής των σφαλμάτων που εντοπίστηκαν.
«Χάρη σε αυτό, κατέστη δυνατός ο περαιτέρω αυτοματισμός περισσότερων τμημάτων της ροής εργασίας fuzzing. Αυτή η πρόσθετη επαναληπτική ανατροφοδότηση με τη σειρά της οδήγησε επίσης σε υψηλότερη ποιότητα και μεγαλύτερο αριθμό σωστών στόχων fuzz.”
Μέσω Τα Νέα των Χάκερ
Μπορεί επίσης να σας αρέσει
