Добавить в корзинуПозвонить
Найти в Дзене
Записки IT специалиста
559 подписчиков

Copy Fail – как ИИ нашел дыру в ядре, с которой мы жили девять лет

2
1 мин
Еще одна свежая новость – уязвимость Copy Fail, которая позволяет любому непривилегированному пользователю получить права root. Уязвимости подвержены все дистрибутивы на протяжении девяти последних лет. Уязвимость вызвана логической ошибкой в crypto API ядра Linux, допущенной в 2017 году при проведении оптимизации. Ну людям свойственно ошибаться. Ошибка выявлена при помощи AI примерно после часа экспериментов с анализом кода криптоподсистемы ядра. Проблема проявляется начиная с ядра Linux 4.14, выпущенного в 2017 году, и устранена в ядрах 6.18.22, 6.19.12 и 7.0. Сейчас все ведущие дистрибутивы заняты выпуском патчей, поэтому следите за обновлениями или переходите на более свежие ядра. В том же Proxmox уже сейчас доступно обновление на версию 9.1.9 с ядром 7.0 А произошедшее еще раз нам показывает, что сегодня ИИ – это не только модное увлечение, но и отличный инструмент по анализу кода, который способен сделать за час то, что люди не смогли за без малого десять лет. Можно, конечн

Copy Fail – как ИИ нашел дыру в ядре, с которой мы жили девять лет

Еще одна свежая новость – уязвимость Copy Fail, которая позволяет любому непривилегированному пользователю получить права root. Уязвимости подвержены все дистрибутивы на протяжении девяти последних лет.

Уязвимость вызвана логической ошибкой в crypto API ядра Linux, допущенной в 2017 году при проведении оптимизации. Ну людям свойственно ошибаться.

Ошибка выявлена при помощи AI примерно после часа экспериментов с анализом кода криптоподсистемы ядра. Проблема проявляется начиная с ядра Linux 4.14, выпущенного в 2017 году, и устранена в ядрах 6.18.22, 6.19.12 и 7.0.

Сейчас все ведущие дистрибутивы заняты выпуском патчей, поэтому следите за обновлениями или переходите на более свежие ядра.

В том же Proxmox уже сейчас доступно обновление на версию 9.1.9 с ядром 7.0

А произошедшее еще раз нам показывает, что сегодня ИИ – это не только модное увлечение, но и отличный инструмент по анализу кода, который способен сделать за час то, что люди не смогли за без малого десять лет.

Можно, конечно, отмахнуться, но если ИИ не будем использовать мы, то его будут использовать злоумышленники и на руках у них будет очень сильный козырь.

Поэтому надо принять новую реальность как данное. ИИ вошел в нашу жизнь на всю ближайшую обозримую перспективу. И не важно, «пузырь» это или нет, схлопнется он или нет. В любом случае технологии останутся, а они уже здесь и сейчас позволяют спокойно находить критические уязвимости в привычных продуктах.

И что-то мне подсказывает, если бы этот код хотя бы направили на рефакторинг ИИ, то подобная проблема была бы обнаружена раньше.

Чем хорош ИИ, так это тем, что он не ленится и способен прочитать и проанализировать код по всем правилам, какие бы они не были. А человек по природе ленив и подобная нудная, монотонная и продолжительная деятельность претит ему априори.

Поэтому подобные ошибки в ПО будут, это заложено в самой человеческой природе. Но те из разработчиков, которые возьмут в помощники ИИ будут в гораздо более выгодном положении, чем те, кто его отрицает.

А мораль сей басни проста: вам дали ИИ – изучайте и применяйте его.