В пакете Python для PDF.js, используемой в Firefox, нашли уязвимость

В пакете Python для PDF.js, используемой в Firefox, нашли уязвимость

В пакете Python для PDF.js, используемой в Firefox, нашли уязвимость

Критическую уязвимость обнаружили в пакете Python llama_cpp_python. Злоумышленники могут использовать эту брешь для выполнения произвольного кода в системе, поставив под угрозу данные и операции.

Популярный пакет llama_cpp_python, загруженный более чем 3 миллиона раз, позволяет разработчикам интегрировать модели искусственного интеллекта с Python.

Баг отслеживается как CVE-2024-34359 (9,7 баллов по шкале CVSS). Компания Checkmarx, занимающаяся безопасностью цепочки поставок программного обеспечения, назвала уязвимость Llama Drama.

Брешь, которую устранили в версии 0.2.72, обнаружил исследователь Патрик Пенг (retr0reg).

Неправильное использование шаблонизатора Jinja2 в пакете llama_cpp_python позволяет внедрять шаблоны на стороне сервера, что приводит к удаленному выполнению кода с помощью специально созданной полезной нагрузки.

Исследователи подчеркивают: необходимо соблюдать правила безопасности на протяжении всего жизненного цикла систем искусственного интеллекта и их компонентов, чтобы уязвимости не возникали.  

Разработка последовала за обнаружением уязвимости высокой степени риска в JavaScript-библиотеке Mozilla PDF.js (CVE-2024-4367), которая могла привести к выполнению произвольного кода.

В сообщении Mozilla говорится, что при обработке шрифтов в PDF.js отсутствовала проверка типа, которая позволяла выполнять произвольный JavaScript в контексте PDF.js.

С помощью уязвимости злоумышленники выполняли скрипт, как только в браузере Firefox открывался PDF-документ, содержащий вредонос. 

Баг был устранён компанией в Firefox 126, Firefox ESR 115.11 и Thunderbird 115.11, выпущенных на прошлой неделе, а также в модуле npm pdfjs-dist версии 4.2.67, выпущенном 29 апреля 2024 года.

Как пояснил специалист Томас Ринсма, большинство библиотек-оболочек, таких как react-pdf, тоже выпустили исправленные версии. Специалисты рекомендуют библиотекам, которые включат PDF.js, рекурсивно проверить папку node_modules на наличие файлов с именем pdf.js, чтобы избежать проблем.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обновление WinAppSDK сломало механизм деинсталляции в Windows 10

C 12 ноября ряд пользователей Windows 10 столкнулись с проблемой обновления и деинсталляции пакетных приложений вроде Microsoft Teams. Microsoft подтвердила наличие бага и отозвала обновление WinAppSDK.

Судя по всему, проблема вызвана пакетом WinAppSDK версии 1.6.2, которая автоматом установилась в системы пользователей после инсталляции приложения, разработанного с использованием Win App SDK.

На затронутых устройствах, работающих под управлением Windows 10 22H2, выводилась ошибка «Something happened on our end» в разделе «Загрузки» Microsoft Store.

«Если вы системный администратор и пытаетесь управлять приложениями через PowerShell с помощью команды “Get-AppxPackage“, система может выдать вам ошибку “Deployment failed with HRESULT: 0x80073CFA“», — объясняет Microsoft.

«Вы также можете столкнуться с проблемами обновления или переустановки Microsoft Teams и других сторонних приложений».

Корпорация пока отозвала проблемную версию WinAppSDK 1.6.2. Один из разработчиков Майк Кридер уточнил, что фикс стоит ждать с выходом WinAppSDK 1.6.3.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru