Você está visualizando atualmente Pesquisadores Descobrem Falhas no Pacote Python para Modelos de IA e PDF.js Usado pelo Firefox

Pesquisadores Descobrem Falhas no Pacote Python para Modelos de IA e PDF.js Usado pelo Firefox

Foi divulgada uma falha crítica de segurança no pacote Python llama_cpp_python que poderia ser explorada por atores maliciosos para executar código arbitrário.

Identificada como CVE-2024-34359 (pontuação CVSS: 9.7), a falha foi apelidada de Llama Drama pela empresa de segurança de cadeia de fornecimento de software Checkmarx.

“Se explorada, poderia permitir que invasores executem código arbitrário em seu sistema, comprometendo dados e operações”, disse o pesquisador de segurança Guy Nachshon.

O llama_cpp_python, um binding Python para a biblioteca llama.cpp, é um pacote popular com mais de 3 milhões de downloads até o momento, permitindo que os desenvolvedores integrem modelos de IA com Python.

O pesquisador de segurança Patrick Peng (retr0reg) foi creditado por descobrir e relatar a falha, que foi corrigida na versão 0.2.72.

O problema central reside no uso indevido do mecanismo de template Jinja2 dentro do pacote llama_cpp_python, permitindo a injeção de template no lado do servidor que leva à execução remota de código por meio de um payload especialmente criado.

“A exploração dessa vulnerabilidade pode resultar em ações não autorizadas por invasores, incluindo roubo de dados, comprometimento do sistema e interrupção das operações”, disse a Checkmarx.

“A descoberta da CVE-2024-34359 serve como um lembrete severo das vulnerabilidades que podem surgir na confluência entre IA e segurança de cadeia de suprimentos. Isso destaca a necessidade de práticas de segurança vigilantes ao longo do ciclo de vida dos sistemas de IA e seus componentes.”

A descoberta da falha de execução de código no PDF.js da Mozilla segue a descoberta de uma falha de severidade alta na biblioteca JavaScript PDF.js da Mozilla (CVE-2024-4367) que poderia permitir a execução de código arbitrário.

“Faltava uma verificação de tipo ao lidar com fontes em PDF.js, o que permitiria a execução arbitrário de JavaScript no contexto do PDF.js”, disse a Mozilla em um aviso.

A Codean Labs, que caracterizou a falha como uma “falha em uma parte específica do código de renderização de fontes”, afirmou que permite que um invasor execute código JavaScript assim que um documento PDF contaminado por malware é aberto no navegador Firefox.

A questão foi abordada no Firefox 126, Firefox ESR 115.11 e Thunderbird 115.11 lançados na semana passada. Também foi resolvido no módulo npm pdfjs-dist versão 4.2.67 lançado em 29 de abril de 2024.

“A maioria das bibliotecas wrapper como react-pdf também lançaram versões corrigidas”, disse o pesquisador de segurança Thomas Rinsma. “Como algumas bibliotecas PDF relacionadas ao mais alto nível incorporam PDF.js estaticamente, recomendamos verificar de forma recursiva sua pasta node_modules em busca de arquivos chamados pdf.js para ter certeza.”

Se achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.