ИИ выявил уязвимости в FFmpeg; Chrome выпустил крупное обновление безопасности
ИИ, разработанный depthfirst, обнаружил 21 ранее неизвестную уязвимость в FFmpeg, а Google выпустил Chrome 149 с исправлениями рекордных 429 проблем безопасности, включая более 100 критических уязвимостей.
Стартап в области безопасности обнаружил 21 ранее неидентифицированную уязвимость в FFmpeg, широко используемой медиабиблиотеке, с помощью автономного ИИ-агента. Уязвимости были выявлены на фоне выпуска Google Chrome 149, который включал исправления рекордных 429 проблем безопасности — наибольшее количество, устранённое за один релиз на сегодняшний день.
Уязвимости в FFmpeg, все подтверждённые как zero-day, возникли в результате программы, которая просканировала около 1,5 миллиона строк кода и сумела выявить ошибки, скрывавшиеся до 20 лет. Среди них одна заметная ошибка переполнения стека оставалась невыявленной с 2003 года. Обнаруженные дефекты включают различные переполнения кучи и стека, затрагивающие компоненты, такие как демультиплексор TS и декодер VP9. Некоторые из этих уязвимостей уже получили идентификаторы CVE, другие находятся в ожидании.
Параллельно обновление Chrome 149 от Google устранило уязвимости с серьёзными последствиями, включая особенно опасную ошибку выхода за границы в графическом движке ANGLE, которая могла позволить вредоносным страницам выполнять код на устройствах пользователей. Большинство этих критических уязвимостей были выявлены собственными исследовательскими командами Google, при этом внешние отчёты составили лишь небольшую часть.
Несмотря на участие ИИ в других сообщениях об уязвимостях, Google явно не связывает рекордное количество уязвимостей в Chrome с влиянием ИИ. Однако компания обновила свою программу вознаграждений в апреле, чтобы справиться с растущим потоком заявок, сгенерированных ИИ, поощряя более краткие отчёты. По мере развития технологий обнаружения уязвимостей с помощью ИИ эксперты предполагают, что организациям возможно потребуется адаптировать свои стратегии реагирования, делая упор на более быстрые циклы исправлений и эффективные процессы установки, чтобы успевать за увеличивающимся числом выявленных проблем.