В пакете Python для PDF.js, используемой в Firefox, нашли уязвимость

Вероника Дубровская 21 Мая 2024 - 21:20

...

В пакете Python для PDF.js, используемой в Firefox, нашли уязвимость

Критическую уязвимость обнаружили в пакете Python llama_cpp_python. Злоумышленники могут использовать эту брешь для выполнения произвольного кода в системе, поставив под угрозу данные и операции.

Популярный пакет llama_cpp_python, загруженный более чем 3 миллиона раз, позволяет разработчикам интегрировать модели искусственного интеллекта с Python.

Баг отслеживается как CVE-2024-34359 (9,7 баллов по шкале CVSS). Компания Checkmarx, занимающаяся безопасностью цепочки поставок программного обеспечения, назвала уязвимость Llama Drama.

Брешь, которую устранили в версии 0.2.72, обнаружил исследователь Патрик Пенг (retr0reg).

Неправильное использование шаблонизатора Jinja2 в пакете llama_cpp_python позволяет внедрять шаблоны на стороне сервера, что приводит к удаленному выполнению кода с помощью специально созданной полезной нагрузки.

Исследователи подчеркивают: необходимо соблюдать правила безопасности на протяжении всего жизненного цикла систем искусственного интеллекта и их компонентов, чтобы уязвимости не возникали.

Разработка последовала за обнаружением уязвимости высокой степени риска в JavaScript-библиотеке Mozilla PDF.js (CVE-2024-4367), которая могла привести к выполнению произвольного кода.

В сообщении Mozilla говорится, что при обработке шрифтов в PDF.js отсутствовала проверка типа, которая позволяла выполнять произвольный JavaScript в контексте PDF.js.

С помощью уязвимости злоумышленники выполняли скрипт, как только в браузере Firefox открывался PDF-документ, содержащий вредонос.

Баг был устранён компанией в Firefox 126, Firefox ESR 115.11 и Thunderbird 115.11, выпущенных на прошлой неделе, а также в модуле npm pdfjs-dist версии 4.2.67, выпущенном 29 апреля 2024 года.

Как пояснил специалист Томас Ринсма, большинство библиотек-оболочек, таких как react-pdf, тоже выпустили исправленные версии. Специалисты рекомендуют библиотекам, которые включат PDF.js, рекурсивно проверить папку node_modules на наличие файлов с именем pdf.js, чтобы избежать проблем.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Марта 2026 - 10:05

Соответствие законодательству РФ Общее

ИТ-компании в России обязали быстрее сообщать об увольнениях в военкоматы

Правительство России сократило срок, в течение которого аккредитованные ИТ-компании должны сообщать об увольнении сотрудника с отсрочкой от призыва. Теперь на это отводится не две недели, а пять календарных дней после увольнения.

Изменения закреплены постановлением правительства, опубликованным 25 марта 2026 года на официальном портале правовых актов.

Если раньше у работодателя было больше времени на бюрократию, то теперь действовать придётся заметно быстрее. Новое правило касается сотрудников, работающих в аккредитованных организациях в сфере информационных технологий и пользующихся отсрочкой от срочной службы по действующим правилам.

Сама ИТ-отсрочка продолжает действовать на базе постановления правительства №490 от 28 марта 2022 года.

Есть и ещё одно важное изменение. Теперь гражданину в ряде случаев не нужно лично приходить в военкомат, чтобы получить освобождение или отсрочку, если в реестре воинского учёта уже есть достаточно сведений для принятия решения.

То есть государство постепенно двигается к более автоматизированной модели: если нужные данные уже есть в системе, отдельный личный визит может не понадобиться.

По сути, вся история выглядит как продолжение курса на цифровизацию воинского учёта и ускорение обмена данными между работодателями и государством. Для ИТ-компаний это означает одно: за кадровыми изменениями теперь придётся следить ещё внимательнее, потому что окно на уведомление стало совсем коротким.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!