قامت جوجل بإصلاح ثغرة أمنية مهمة في بيئة التطوير المتكاملة الخاصة بها Antigravity. المشكلة، التي حددها الباحثون، كانت تسمح بتنفيذ التعليمات البرمجية عن بُعد. جمعت الثغرة بين وظيفة إنشاء الملفات وتنقية المدخلات غير الكافية في أداة البحث. تم بالفعل تصحيح هذا الخلل من خلال تحديث رسمي من الشركة.
آلية الاستغلال عبر حقن الأوامر المطالبة 🔓
كانت الثغرة موجودة في نظام البحث الخاص ببيئة التطوير المتكاملة. بسبب عدم التحقق من مدخلات المستخدم وتنقيتها بشكل صحيح، كان بإمكان المهاجم حقن أوامر مطالبة ضارة. كانت هذه الأوامر تخدع النظام لتنفيذ أوامر باستغلال وظيفة إنشاء الملفات. بهذه الطريقة، تم تجاوز قيود الأمان المصممة في Antigravity، مما أدى إلى تنفيذ تعليمات برمجية عشوائية.
عندما يصبح طلب شيء من بيئة التطوير المتكاملة حرفيًا 🤖
يبدو أن بعض المستخدمين فسروا أن أداة البحث يجب أن تنفذ أي طلب حرفيًا. النظام، في حماسه المفرط ليكون مفيدًا، انتهى به الأمر إلى طاعة تعليمات لم يكن ينبغي له ذلك. إنه تذكير بأن المساعدة المتحمسة جدًا يمكن أن تفتح الباب أحيانًا لزيارات غير متوقعة. كان على جوجل أن تعلم مساعدها حدودًا جديدة.