Новый баг Firefox приводит к сбою в работе браузера и системы

Новый баг Firefox приводит к сбою в работе браузера и системы

Новый баг Firefox приводит к сбою в работе браузера и системы

Исследователь в области безопасности обнаружил недостаток, который приводит к сбою в работе браузера Firefox, а иногда и к сбою самой системы, в которой установлен уязвимый интернет-обозреватель.

О проблеме сообщил эксперт Сабри Хаддуш, который на днях также опубликовал информацию о новой CSS-атаке, которая приводит к сбою в работе iPhone.

Хаддуш поделился своими наблюдениями в Twitter, уточнив, что баг приводит к проблемам в работе процесса Firefox в системах macOS и Linux. Специалист прикрепил скриншот отчета о сбое в работе программы:

На системах Windows недостаток проявляет себя куда хуже — пользователям приходится осуществлять «жесткую» перезагрузку, так как операционная система полностью зависает и совершенно не реагирует на команды.

Согласно последним наблюдениям, баг присутствует в актуальной стабильной версии Firefox и версии для разработчиков. Код, доказывающий наличие бага, был опубликован (при переходе по ссылке браузер не пострадает) экспертом на GitHub.

Хаддуш недавно занялся изучением WebKit на предмет наличия в нем уязвимостей. Периодически специалист публикует свои выводы. На прошлой неделе Хаддуш Хаддуш пояснил, что сотни вложенных элементов вроде тегов <div> внутри свойства backdrop-filter в CSS могут использовать все ресурсы устройства на iOS и вызвать сбой в ядре (kernel panic).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Использование генеративного ИИ ухудшает качество кода

Использование генеративного искусственного интеллекта (ИИ) в разработке программного обеспечения может негативно сказываться на качестве кода. Это связано с так называемыми «галлюцинациями» больших языковых моделей, риском утечек кода, а также с тем, что ИИ нередко воспроизводит уже существующие ошибки и уязвимости.

Влиянию генеративного ИИ на процессы разработки было посвящено выступление основателя компании CodeScoring Алексея Смирнова на конференции «День безопасной разработки», организованной Ассоциацией разработчиков программных продуктов (АРПП) «Отечественный софт».

Как отметил Алексей Смирнов, галлюцинации ИИ в контексте программирования чаще всего проявляются в рекомендациях использовать несуществующие библиотеки — таких случаев может быть до 20%. Причём ещё год назад эта проблема практически не наблюдалась.

По его мнению, этим недостатком могут воспользоваться злоумышленники, подсовывая разработчикам заведомо уязвимые или вредоносные компоненты. Особенно опасно то, что в 58% случаев галлюцинации ИИ повторяются — а значит, подобрать нужное название несуществующей библиотеки становится проще.

Смирнов также сообщил, что с появлением ИИ-ассистентов количество утечек кода увеличилось на 40%. Утечки данных, использованных для обучения нейросетей, в целом являются типичной проблемой. Например, в модели угроз, разработанной в Сбере, такая угроза считается одной из ключевых.

Кроме того, по данным CodeScoring, в каждом третьем случае ИИ-ассистенты воспроизводят уязвимости в коде. Таким образом, надежды на то, что генеративные инструменты смогут автоматически находить и устранять уязвимости, не оправдались. Более того, как подчеркнул Алексей Смирнов, накопленный опыт показывает, что применение генеративного ИИ затрудняет работу статических анализаторов кода.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru