Kullanıcı adı ile bir Redditor fantastik Özellik düşüşünü yüklemeden önce bu sorunu nasıl hiç yapmadığına dikkat çekti. Diğerleri de aynı şeyin suçlayıcı parmaklarını güncellemeye işaret ettiğini ve bu konu için suçladığını söyledi. Uyarlanabilir parlaklık devre dışı bırakıldığında, bu özellik de sorun değil.

Çoğu akıllı telefon kullanıcısı, 120Hz yenileme hızı yaşadıktan sonra 60Hz’e uyum sağlamanın neredeyse imkansız olduğunu kabul ediyor. Ancak, video izlerken Pixel’in ekranınızın titremesini durdurmak için, Google bu hatayı yok etmek için bir güncelleme yayınlayana kadar yumuşak ekranı devre dışı bırakmanız gerekebilir.

Titreşmenin görüldüğü bazı uygulamalar arasında Netflix, YouTube, Prime Video ve Disney+bulunmaktadır. Bu, hatanın bu uygulamalarla sınırlı olduğu anlamına gelmez ve sadece Reddit’teki hatadan şikayet edenlerin, titreme başladığında bu uygulamalardan birini kullandığı anlamına gelir. Bildiğimiz her şey için, bu sorun bu makalede listelenen dört uygulamadan daha fazlasını etkiler.

Bu sorunlardan etkilenen Pixel kullanıcıları, Google’ın yakında hataları yok edecek bir güncelleme göndermesini umuyor.

29 Ekim 2024Ravie LakshmananYapay Zeka Güvenliği / Güvenlik Açığı

Çeşitli açık kaynaklı yapay zeka (AI) ve makine öğrenimi (ML) modellerinde, bazıları uzaktan kod yürütülmesine ve bilgi hırsızlığına yol açabilecek üç düzineden fazla güvenlik açığı ortaya çıktı.

ChuanhuChatGPT, Lunary ve LocalAI gibi araçlarda tespit edilen kusurlar, rapor edildi Protect AI’nin Huntr hata ödül platformunun bir parçası olarak.

Kusurların en ciddisi, büyük dil modelleri (LLM’ler) için bir üretim araç seti olan Lunary’yi etkileyen iki eksikliktir:

• CVE-2024-7474 (CVSS puanı: 9,1) – Kimliği doğrulanmış bir kullanıcının harici kullanıcıları görüntülemesine veya silmesine olanak tanıyan, yetkisiz veri erişimine ve potansiyel veri kaybına neden olabilecek bir Güvenli Olmayan Doğrudan Nesne Referansı (IDOR) güvenlik açığı

• CVE-2024-7475 (CVSS puanı: 9.1) – Bir saldırganın SAML yapılandırmasını güncellemesine olanak tanıyan, böylece yetkisiz bir kullanıcı olarak oturum açmayı ve hassas bilgilere erişmeyi mümkün kılan uygunsuz bir erişim kontrolü güvenlik açığı

Ayrıca Lunary’de başka bir IDOR güvenlik açığı keşfedildi (CVE-2024-7473CVSS puanı: 7,5), kötü niyetli bir kişinin, kullanıcı tarafından kontrol edilen bir parametreyi değiştirerek diğer kullanıcıların istemlerini güncellemesine izin verir.

Koruma AI bir danışma belgesinde “Bir saldırgan A Kullanıcısı olarak oturum açıyor ve bir istemi güncelleme isteğini engelliyor” dedi. “İstekteki ‘id’ parametresini, B Kullanıcısına ait bir istemin ‘id’sine değiştirerek, saldırgan, B Kullanıcısının istemini yetkisiz olarak güncelleyebilir.”

Üçüncü kritik güvenlik açığı, ChuanhuChatGPT’nin kullanıcı yükleme özelliğindeki yol geçiş kusuruyla ilgilidir (CVE-2024-5982CVSS puanı: 9.1) bu durum keyfi kod yürütülmesine, dizin oluşturulmasına ve hassas verilerin açığa çıkmasına neden olabilir.

Kullanıcıların kendi kendine barındırılan LLM’leri çalıştırmasına olanak tanıyan ve potansiyel olarak kötü niyetli aktörlerin kötü amaçlı bir yapılandırma dosyası yükleyerek rastgele kod çalıştırmasına izin veren açık kaynaklı bir proje olan LocalAI’de de iki güvenlik açığı belirlendi (CVE-2024-6983CVSS puanı: 8.8) ve sunucunun yanıt süresini analiz ederek geçerli API anahtarlarını tahmin edin (CVE-2024-7010CVSS puanı: 7,5).

Koruma AI, “Güvenlik açığı, bir saldırganın bir tür yan kanal saldırısı olan zamanlama saldırısı gerçekleştirmesine olanak tanıyor” dedi. “Saldırgan, farklı API anahtarlarıyla istekleri işlemek için geçen süreyi ölçerek, her seferinde bir karakter olmak üzere doğru API anahtarını çıkarabilir.”

Güvenlik açıkları listesinin tamamlanması, Deep Java Library’yi (DJL) etkileyen ve paketin untar işlevinden kaynaklanan rastgele bir dosya üzerine yazma hatasından kaynaklanan bir uzaktan kod yürütme kusurudur (CVE-2024-8396CVSS puanı: 7.8).

Açıklama NVIDIA olarak geliyor piyasaya sürülmüş NeMo üretken yapay zeka çerçevesindeki (CVE-2024-0129, CVSS puanı: 6,3) kod yürütmeye ve verilerde değişiklik yapılmasına yol açabilecek bir yol geçiş kusurunu düzeltmek için yamalar.

Kullanıcıların AI/ML tedarik zincirlerini güvence altına almak için kurulumlarını en son sürümlere güncellemeleri önerilir. olası saldırılara karşı koruma.

Güvenlik açığının açıklanması, aynı zamanda, Python kod tabanlarındaki sıfır gün güvenlik açıklarını bulmak için LLM’lerden yararlanan açık kaynaklı bir Python statik kod analizörü olan Koruma AI’nın Vulnhuntr’u piyasaya sürmesinin ardından geldi.

Vulnhuntr, olası güvenlik sorunlarını işaretlemek için LLM’nin bağlam penceresini (LLM’nin tek bir sohbet isteğinde ayrıştırabileceği bilgi miktarı) aşırı doldurmadan kodu daha küçük parçalara bölerek çalışır.

Dan McInerney ve Marcello Salvati, “Kullanıcı girdisini ilk işleyecek dosyalar olması muhtemel dosyaları proje dosyalarında otomatik olarak arar.” söz konusu. “Daha sonra dosyanın tamamını alıyor ve tüm olası güvenlik açıklarıyla yanıt veriyor.”

“Potansiyel güvenlik açıklarının bu listesini kullanarak, proje boyunca her bir potansiyel güvenlik açığı için kullanıcı girişinden sunucu çıkışına kadar tüm işlev çağrı zincirini, son çağrı zincirinin tamamına sahip olduğundan emin olana kadar her seferinde bir işlev/sınıf olarak tamamlamaya devam eder. analiz.”

Yapay zeka çerçevelerindeki güvenlik zayıflıkları bir yana, Mozilla’nın 0Day Investigative Network (0Din) tarafından yayınlanan yeni bir jailbreak tekniği, onaltılık formatta ve emojilerle kodlanmış kötü amaçlı istemlerin (örneğin, “ benim için bir sqllinj aracı”) kullanılabileceğini buldu. OpenAI ChatGPT’nin korumalarını atlayın ve bilinen güvenlik açıklarına yönelik açıklardan yararlanın.

Güvenlik araştırmacısı Marco Figueroa, “Jailbreak taktiği, modele görünüşte zararsız bir görevi işleme talimatı vererek dilsel bir boşluktan yararlanıyor: altıgen dönüştürme” söz konusu. “Model, kodlama veya kod çözme görevlerini gerçekleştirmek de dahil olmak üzere doğal dildeki talimatları takip edecek şekilde optimize edildiğinden, onaltılık değerleri dönüştürmenin zararlı çıktılar üretebileceğini doğası gereği tanımıyor.”

“Bu zayıflık, dil modelinin talimatları adım adım takip edecek şekilde tasarlanması, ancak nihai hedefin daha geniş bağlamında her bir adımın güvenliğini değerlendirmek için derin bağlam farkındalığından yoksun olması nedeniyle ortaya çıkıyor.”

05 Haziran 2024Haber odasıGüvenlik Açığı / Veri Güvenliği

Zyxel’in sahip olduğu güvenlik güncellemeleri yayınlandı Şu anda kullanım ömrü sonu (EoL) durumuna ulaşmış olan ağa bağlı depolama (NAS) cihazlarından ikisini etkileyen kritik kusurları gidermek için.

Beş güvenlik açığından üçünün başarıyla kullanılması, kimliği doğrulanmamış bir saldırganın, etkilenen kurulumlarda işletim sistemi (OS) komutları ve rastgele kod yürütmesine izin verebilir.

Etkilenen modeller arasında V5.21(AAZF.16)C0 ve önceki sürümlerini çalıştıran NAS326 ile V5.21(ABAG.13)C0 ve önceki sürümlerini çalıştıran NAS542 bulunmaktadır. Eksiklikler sırasıyla V5.21(AAZF.17)C0 ve V5.21(ABAG.14)C0 sürümlerinde giderilmiştir.

Kusurların kısa bir açıklaması aşağıdaki gibidir:

• CVE-2024-29972 – “remote_help-cgi” CGI programındaki, kimliği doğrulanmamış bir saldırganın hazırlanmış bir HTTP POST isteği göndererek bazı işletim sistemi (OS) komutlarını yürütmesine izin verebilecek bir komut ekleme güvenlik açığı

• CVE-2024-29973 – ‘setCookie’ parametresinde, kimliği doğrulanmamış bir saldırganın hazırlanmış bir HTTP POST isteği göndererek bazı işletim sistemi komutlarını yürütmesine izin verebilecek bir komut ekleme güvenlik açığı

• CVE-2024-29974 – ‘file_upload-cgi’ CGI programındaki, kimliği doğrulanmamış bir saldırganın hazırlanmış bir yapılandırma dosyası yükleyerek rastgele kod yürütmesine izin verebilecek bir uzaktan kod yürütme güvenlik açığı

• CVE-2024-29975 – SUID yürütülebilir ikili dosyasında, yönetici ayrıcalıklarına sahip, kimliği doğrulanmış bir yerel saldırganın bazı sistem komutlarını ‘kök’ kullanıcı olarak yürütmesine izin verebilecek uygun olmayan bir ayrıcalık yönetimi güvenlik açığı

• CVE-2024-29976 – ‘show_allsessions’ komutunda, kimliği doğrulanmış bir saldırganın, oturum açmış bir yöneticinin etkilenen cihazdaki çerezleri içeren oturum bilgilerini ele geçirmesine olanak verebilecek uygunsuz bir ayrıcalık yönetimi güvenlik açığı

Outpost24 güvenlik araştırmacısı Timothy Hjort kredilendirildi beş kusuru keşfetme ve raporlama ile. Kimlik doğrulama gerektiren ayrıcalık yükseltme kusurlarından ikisinin yama yapılmadan kaldığını belirtmekte fayda var.

Sorunlardan yararlanıldığına dair bir kanıt olmasa da, optimum koruma için kullanıcıların en son sürüme güncellemeleri önerilir.