Python–ի llama_cpp_python փաթեթում անվտանգության կրիտիկական խոցելիություն է բացահայտվել, որը կամայական կոդի կատարման համար կարող է չարաշահվել հաքերների կողմից։
Հանդիսանալով CVE-2024-34359 (CVSS կատալոգում միավորը՝ 9.7), խոցելիությունը ստացել է Llama Drama ծածկագիրը։
«Շահագործման դեպքում այն հաքերներին կարող է թույլ տալ կամայական կոդ գործարկել թիրախային համակարգում՝ վտանգելով համակարգի ներքին տվյալներն ու գործառույթները», – նշում է անվտանգության գծով փորձագետ՝ Գայ Նաչշոնը:
llama_cpp_python–ը Python-ի հայտնի փաթեթ է, որն առ այսօր ավելի քան 3 միլիոն բեռնում ունի։ Այն ծրագրավորողներին թույլ է տալիս AI մոդելները ինտեգրել Python-ին։
Codean Labs-ը բնութագրվում է որպես font rendering code–ի խոցելիություն, որը FireFox բրաուզերում PDF փաստաթղթի բացվելուն պես հաքերներին թույլ է տալիս գործարկել JavaScript–ի կոդը։
«Բարձր մակարդակի PDF-ի հետ փոխկապակցված գրադարանները ստատիկ կերպով զետեղում են PDF.js-ը։ Խորհուրդ է տրվում ստուգել node_modules–ը, արդյո՞ք դրանք pdf.js կոչվող ֆայլեր պարունակում են, թե՞ ոչ»:
Այս պահի դրությամբ bug-ը շտկված է Firefox-ի հետևյալ տարբերակների վրա՝ Firefox 126, Firefox ESR 115.11 և Thunderbird 115.11։ Այն նաև շտկվել է՝ npm pdfjs-dist version 4.2.67 տարբերակում, որը դեռևս թողարկվել էր 2024 թվականի ապրիլի 29-ին:
«react-pdf գրադարաններում արդեն իսկ թողարկել են վերաշտկված տարբերակները», – նշում է անվտանգության գծով փորձագետ՝ Թոմաս Ռինսման:
Աղբյուր՝ https://thehackernews.com/
