В пакете Python для PDF.js, используемой в Firefox, нашли уязвимость

Вероника Дубровская 21 Мая 2024 - 21:20

...

В пакете Python для PDF.js, используемой в Firefox, нашли уязвимость

Критическую уязвимость обнаружили в пакете Python llama_cpp_python. Злоумышленники могут использовать эту брешь для выполнения произвольного кода в системе, поставив под угрозу данные и операции.

Популярный пакет llama_cpp_python, загруженный более чем 3 миллиона раз, позволяет разработчикам интегрировать модели искусственного интеллекта с Python.

Баг отслеживается как CVE-2024-34359 (9,7 баллов по шкале CVSS). Компания Checkmarx, занимающаяся безопасностью цепочки поставок программного обеспечения, назвала уязвимость Llama Drama.

Брешь, которую устранили в версии 0.2.72, обнаружил исследователь Патрик Пенг (retr0reg).

Неправильное использование шаблонизатора Jinja2 в пакете llama_cpp_python позволяет внедрять шаблоны на стороне сервера, что приводит к удаленному выполнению кода с помощью специально созданной полезной нагрузки.

Исследователи подчеркивают: необходимо соблюдать правила безопасности на протяжении всего жизненного цикла систем искусственного интеллекта и их компонентов, чтобы уязвимости не возникали.

Разработка последовала за обнаружением уязвимости высокой степени риска в JavaScript-библиотеке Mozilla PDF.js (CVE-2024-4367), которая могла привести к выполнению произвольного кода.

В сообщении Mozilla говорится, что при обработке шрифтов в PDF.js отсутствовала проверка типа, которая позволяла выполнять произвольный JavaScript в контексте PDF.js.

С помощью уязвимости злоумышленники выполняли скрипт, как только в браузере Firefox открывался PDF-документ, содержащий вредонос.

Баг был устранён компанией в Firefox 126, Firefox ESR 115.11 и Thunderbird 115.11, выпущенных на прошлой неделе, а также в модуле npm pdfjs-dist версии 4.2.67, выпущенном 29 апреля 2024 года.

Как пояснил специалист Томас Ринсма, большинство библиотек-оболочек, таких как react-pdf, тоже выпустили исправленные версии. Специалисты рекомендуют библиотекам, которые включат PDF.js, рекурсивно проверить папку node_modules на наличие файлов с именем pdf.js, чтобы избежать проблем.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Яков Шпунт 02 Марта 2026 - 10:36

Соответствие законодательству РФ Общее Защита от мошенничества Безопасность платежей

МФО теперь обязаны сообщать о подозрительных клиентах в ФинЦЕРТ

С 1 марта микрофинансовые организации (МФО) обязаны передавать в ФинЦЕРТ Банка России данные о заявках и заемщиках, не прошедших антифрод-проверку. Эта норма вошла в комплекс антимошеннических мер, вступивших в силу с 1 марта 2026 года.

Как прокомментировал РИА Новости генеральный директор МКК «Займер» Роман Макаров, обмен информацией с регулятором становится двусторонним.

Ранее МФО были обязаны получать данные из ФинЦЕРТ о клиентах и отказывать в услугах при выявлении совпадений, однако собственные сведения в базу не передавали.

«С 1 марта для МФО стала обязательной передача в ФинЦЕРТ сведений о заявках и заемщиках, которые не прошли антифрод-проверку в компании. Кроме того, кредиторы должны направлять в базу информацию о договорах займа, оформленных без согласия граждан — по их обращениям в МФО или по данным правоохранительных органов», — уточнил Роман Макаров.

К «попыткам заключения договора без добровольного согласия клиента» регулятор относит все заявки, отклоненные из-за подозрений на фрод. Передать сведения о таком инциденте в ФинЦЕРТ необходимо в течение одного рабочего дня с момента его выявления. По словам Романа Макарова, в «Займере» этот процесс встроен в систему безопасности и полностью автоматизирован.

Ранее для оформления микрокредита зачастую было достаточно паспортных данных, а подать заявку можно было дистанционно, в том числе через портал Госуслуг. Этим активно пользовались мошенники. Известен и случай, когда ребенок, играя с телефоном родителей, оформил на них несколько микрокредитов.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!