Meg vannak számlálva a nulladik napi sebezhetőségek

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

Február óta a Firefox csapata éjjel-nappal azon dolgozik, hogy élvonalbeli MI-modellekkel rejtett biztonsági sebezhetőségeket találjon és javítson a böngészőben. Korábban már írtunk az Anthropic-kal közös munkáról, amikor az Opus 4.6-tal vizsgáltuk át a Firefoxot. Ennek eredményeként 22 biztonságkritikus hibát javítottunk a Firefox 148-ban.

Az Anthropic-kal folytatott együttműködés részeként lehetőségünk volt a Claude Mythos Preview korai változatát is bevetni a Firefox ellenőrzésére. A most megjelent Firefox 150-ben 271 olyan sebezhetőséget javítottunk, amelyet ez az első értékelés során azonosítottunk.

Ahogy ezek a képességek egyre több védelmi csapathoz eljutnak, sokan most ugyanazt a szédítő érzést élik át, amit mi is, amikor először szembesültünk az eredményekkel. Egy ennyire megerősített célpontnál már egyetlen ilyen hiba is vörös riasztást jelentene 2025-ben, és ha egyszerre ennyit találsz, óhatatlanul felmerül a kérdés, hogy egyáltalán lehetséges-e lépést tartani.

A mi tapasztalatunk biztató azoknak a csapatoknak, akik túllendülnek ezen a szédülésen, és nekilátnak a munkának. Lehet, hogy mindent újra kell priorizálni, és könyörtelen, egyetlen célra összpontosító munkára lesz szükség, de az alagút végén van fény. Rendkívül büszkék vagyunk rá, ahogyan a csapatunk megugrotta ezt a kihívást, és mások is képesek lesznek rá. A munka még nem ért véget, de átbillentünk a holtponton, és már nem csak a túlélés látszik elérhetőnek. A védőknek végre esélyük nyílik arra, hogy egyértelműen nyerjenek.

Mostanáig az iparág nagyjából döntetlenre hozta a biztonsági harcot. Az olyan, internet felé nyitott, kritikus szoftverek gyártói, mint a Firefox, rendkívül komolyan veszik a biztonságot, és külön csapatok dolgoznak azon, hogy a felhasználók biztonságban legyenek. Mégis, régóta csendben mindenki elismerte, hogy a kihasználható hibák teljes lenullázása nem reális cél. Inkább arra törekedtünk, hogy annyira megdrágítsuk a kihasználásukat, hogy csak gyakorlatilag korlátlan büdzsével rendelkező szereplők engedhessék meg maguknak, és az ilyen drága eszköz „elégetésének” költsége elvegye a kedvüket a könnyed használattól.

Ennek oka, hogy a biztonság eddig alapvetően a támadók oldalára billent: a támadási felület nem végtelen, de elég nagy ahhoz, hogy a rendelkezésre álló eszközökkel nehéz legyen teljesen lefedni. Ez aszimmetrikus előnyt ad a támadóknak, mert nekik elég egyetlen rést találni a páncélon.

Réteges védekezést alkalmazunk, több, egymást átfedő védelmi vonallal, de egyik réteg sem tökéletes. A Firefox minden weboldalt külön processz sandboxban futtat, a támadók viszont megpróbálják a renderelő kódban lévő hibákat a sandbox hibáival kombinálni, hogy kitörjenek egy magasabb jogosultságú környezetbe. Élen járunk a Rust kiépítésében és használatában, de még így sem engedhetjük meg magunknak, hogy mindent félredobjunk, és évtizedes C++ kódot írjunk át, különösen, hogy a Rust is csak bizonyos (bár nagyon gyakori) sebezhetőség-típusokat mérsékel.

A réteges védekezés mellé belső red teamet is működtetünk, amelynek feladata, hogy az automatizált elemzési technikák élvonalában maradjon. Ezek eddig főként dinamikus elemzési módszerek voltak, például a fuzzing. A fuzzing a gyakorlatban nagyon eredményes, de a kód egyes részeit nehezebb így tesztelni, ezért a lefedettség egyenetlen.

A legjobb biztonsági kutatók olyan hibákat is megtalálnak, amelyeket a fuzzerek nem, mégpedig azzal, hogy végiggondolják a forráskód működését. Ez hatékony, de időigényes, és a ritka emberi szakértelem jelenti a szűk keresztmetszetet. Néhány hónappal ezelőtt a számítógépek erre teljesen alkalmatlanok voltak, mostanra viszont kiemelkedően jól teljesítenek benne. Sokéves tapasztalatunk van abban, hogyan bontsuk elemeire a világ legjobb biztonsági kutatóinak munkáját, és a Mythos Preview pontosan ilyen szinten teljesít. Eddig nem találtunk olyan sebezhetőség-kategóriát vagy bonyolultságot, amit az ember meg tud találni, ez a modell viszont ne tudná.

Rövid távon ez ijesztőnek tűnhet, hosszabb távon viszont óriási hír a védőknek. Ha a gépek által felfedezhető és az emberek által felfedezhető hibák köre eltér, az a támadóknak kedvez, akik hónapokig tartó, drága emberi munkát koncentrálhatnak egyetlen hiba megtalálására. Ha ezt a rést bezárjuk, a támadók hosszú távú előnye elolvad, mert minden felfedezés olcsóvá válik.

Bátorító, hogy eddig nem láttunk olyan hibát, amit egy elit emberi kutató ne tudott volna megtalálni. Vannak, akik azt jósolják, hogy a jövőbeli MI-modellek teljesen új, a jelenlegi tudásunkkal felfoghatatlan sebezhetőség-típusokat ásnak majd elő, mi viszont nem így gondoljuk. Az olyan szoftvereket, mint a Firefox, modulárisan tervezzük, hogy emberek is végig tudják gondolni a helyes működésüket. Összetett rendszerek, de nem végtelenül bonyolultak. A hibák száma véges, és most lépünk be abba a korszakba, amikor végre mindet meg tudjuk találni.