Phát hiện ra lỗ hổng trong gói Python cho các mô hình AI và PDF.js

   Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong gói Python   llama_cpp_python   có thể bị các tác nhân đe dọa khai thác để đạt được việc thực thi mã tùy ý. Được theo dõi là  CVE-2024-34359  (điểm CVSS: 9,7), lỗ hổng này đã được công ty bảo mật chuỗi cung ứng phần mềm Checkmarx đặt tên mã là  Llama Drama . "Nếu bị khai thác, nó có thể cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống của bạn, ảnh hưởng đến dữ liệu và hoạt động", nhà nghiên cứu bảo mật Guy Nachshon  cho biết . llama_cpp_python, một ràng buộc Python cho  thư viện llama.cpp , là một gói phổ biến với hơn 3 triệu lượt tải xuống cho đến nay, cho phép các nhà phát triển tích hợp các mô hình AI với Python. Nhà nghiên cứu bảo mật Patrick Peng (retr0reg) đã được ghi nhận với việc phát hiện và báo cáo lỗ hổng, đã được giải quyết trong phiên bản 0.2.72. Vấn đề cốt lõi  bắt nguồn từ việc lạm dụng công cụ mẫu Jinja2 trong gói llama_cpp_python, cho phép chèn mẫu phía máy chủ dẫn đến thực thi mã từ xa bằng tải trọng được chế tạo đặc biệt. "Việc khai thác lỗ hổng này có thể dẫn đến các hành động trái phép của những kẻ tấn công, bao gồm đánh cắp dữ liệu, thỏa hiệp hệ thống và làm gián đoạn hoạt động", Checkmarx nói. "Việc phát hiện ra CVE-2024-34359 đóng vai trò như một lời nhắc nhở rõ ràng về các lỗ hổng có thể phát sinh tại nơi hợp lưu của AI và bảo mật chuỗi cung ứng. Nó nhấn mạnh sự cần thiết phải thực hành bảo mật thận trọng trong suốt vòng đời của các hệ thống AI và các thành phần của chúng. " Lỗ hổng thực thi mã trong PDF.js # Sự phát triển này theo sau việc phát hiện ra một lỗ hổng nghiêm trọng cao trong thư viện JavaScript PDF.js của Mozilla ( CVE-2024-4367 ) có thể cho phép thực thi mã tùy ý. "Kiểm tra kiểu bị thiếu khi xử lý phông chữ trong PDF.js, điều này sẽ cho phép thực thi JavaScript tùy ý trong ngữ cảnh PDF.js", Mozilla  cho biết  trong một lời khuyên. Codean Labs,  mô tả  lỗ hổng này là "sự giám sát trong một phần cụ thể của mã kết xuất phông chữ", cho biết nó cho phép kẻ tấn công thực thi mã JavaScript ngay khi tài liệu PDF có chứa phần mềm độc hại được mở trong trình duyệt Firefox. Vấn đề đã được giải quyết trong Firefox 126, Firefox ESR 115.11 và Thunderbird 115.11 được xuất xưởng vào tuần trước. Nó cũng đã được giải quyết trong mô-đun npm  pdfjs-dist phiên bản 4.2.67  được phát hành vào ngày 29 tháng 4 năm 2024. "Hầu hết các thư viện wrapper như react-pdf  cũng đã phát hành  các phiên bản vá", nhà nghiên cứu bảo mật Thomas Rinsma cho biết. "Bởi vì một số thư viện liên quan đến PDF cấp cao hơn nhúng tĩnh PDF.js, chúng tôi khuyên bạn nên kiểm tra đệ quy thư mục node_modules của bạn cho các tệp được gọi là pdf.js để chắc chắn."