Përditësimi më i fundit i sigurisë së Firefox nga Mozilla ofron një pamje të rrallë të asaj që ndodh kur aftësitë e inteligjencës artificiale (AI) në nivel të lartë arrijnë te mbrojtësit para sulmuesve.
Kompania tha se rregulloi 423 gabime sigurie të Firefox në prill pasi fitoi qasje në Claude Mythos Preview, krahasuar me afërsisht 420 rregullime gjatë 14 muajve të mëparshëm.
Pala mbrojtëse bëri brenda një muaji atë që më parë kishte zgjatur më shumë se një vit, pastaj zbuloi një mostër të gabimeve për të treguar thellësinë e rrezikut latent që ishte ende i pranishëm brenda një baze kodi të shfletuesit të pjekur dhe të testuar shumë.
Një nga gabimet e zbuluara, Bug 2025977, ishte një problem 20-vjeçar i rihyrjes në XSLT në të cilin thirrjet key() mund të shkaktonin një ripërpunim të tabelës së hash, të lironin hapësirën e ruajtjes dhe të linin një tregues të hyrjes së papërpunuar në përdorim.
Një tjetër, Bug 2024437, përfshinte një gabim 15-vjeçar në elementin HTML <legend>, transmeton Telegrafi.
Këto janë pikërisht llojet e defekteve të fshehura prej kohësh që mund t’i mbijetojnë testimit të zakonshëm, ngatërrimit dhe rishikimit manual sepse ato ndodhen brenda kutive të errëta të skajeve, nënsistemeve më të vjetra ose ndërveprimeve komplekse nëpër pjesë të largëta të shfletuesit.
Mozilla tha se Claude Mythos Preview ndihmoi në identifikimin dhe rregullimin e 271 gabimeve në versionin Firefox 150, me rregullime shtesë të dërguara në 149.0.2, 150.0.1 dhe 150.0.2. Nga ato 271 gabime të Firefox 150, 180 u vlerësuan si të nivelit të lartë, 80 ishin të nivelit të mesëm dhe 11 ishin të nivelit të ulët.
Korniza e ashpërsisë së sigurisë së Mozilla-s i cakton nivelit të lartë dobësive që mund të shkaktohen nga sjellja normale e përdoruesit, siç është vizita e një faqeje interneti. Kjo i vendos gjetjet në një kategori serioze operative, edhe aty ku Mozilla nuk kishte ndërtuar prova të plota të armatimit në botën reale.
Gabimi 20-vjeçar tregon se sa gjatë mund të mbijetojnë të metat që duken të shfrytëzueshme.
Firefox është një shfletues i vjetër, me vlerë të lartë dhe shumë i shqyrtuar. Kodi i tij është testuar nga ekipe të brendshme, studiues të jashtëm, fuzzerë, gjuetarë shpërblimesh për defekte dhe sulmues për vite me radhë.
Kjo e bën rritjen e prillit më të rëndësishme sepse dobësitë u shfaqën brenda një projekti me inxhinieri sigurie të pjekur sesa brenda një baze kodi të rishikuar lehtë. Mozilla tha se raportet e sigurisë të gjeneruara nga IA për projektet me burim të hapur kishin mbajtur më parë një barrë të lartë zhurme për mirëmbajtësit.
Raportet mund të dukeshin të besueshme ndërsa ishin ende të gabuara, dhe asimetria ishte e dukshme: gjenerimi i pretendimeve ishte i lirë, ndërsa validimi i tyre konsumonte kohë inxhinierike me përvojë.
Dinamika ndryshoi ndërsa modelet u përmirësuan dhe Mozilla ndërtoi një sistem rreth tyre. Kompania përshkroi një kanal që mund të drejtonte modelet drejt zonave specifike të kodit, të gjeneronte raste testimi të riprodhueshme, të filtronte zhurmën, të hiqte dublikimet e gjetjeve, të triazhonte ashpërsinë dhe të zhvendoste defektet e konfirmuara në ciklin jetësor të sigurisë.
Modeli siguroi fuqi zbulimi, ndërsa sistemi i ktheu atë fuqi në raporte dhe patch-e të konfirmuara.
Mostra e zbuluar në shkrimin teknik të Mozilla-s përfshinte një gabim WebAssembly GC që mund të krijonte një primitiv të objektit të rremë me lexim ose shkrim të mundshëm arbitrar, kushte të garës IPC që ndikojnë në numërimin e referencave të procesit prind, deserializim të papërpunuar të NaN përtej një kufiri IPC, rrjedhje të memories së pirgut të procesit prind gjatë analizimit të DNS, të meta përdorimi pas lirimit dhe kandidatë për arratisje nga sandbox. /Telegrafi/
