गूगल ने अपने जेमिनी सीएलआई और कर्सर टूल्स में दो सुरक्षा कमजोरियों को ठीक कर दिया है। पहली, जिसका सीवीएसएस स्कोर 10 था, कमांड-लाइन इंटरफेस के माध्यम से रिमोट कोड निष्पादन (आरसीई) की अनुमति देती थी। दूसरी खामी, जो कर्सर एडिटर में मौजूद थी, अनधिकृत कमांड के निष्पादन को भी संभव बनाती थी। दोनों ही डेवलपर्स और उपयोगकर्ताओं के लिए गंभीर खतरा पैदा करती थीं, क्योंकि एक हमलावर उपयोगकर्ता के इंटरैक्शन के बिना सिस्टम से समझौता कर सकता था।
ठीक की गई कमजोरियों के तकनीकी विवरण 🛡️
जेमिनी सीएलआई में कमजोरी, जिसे गंभीर के रूप में वर्गीकृत किया गया था, मनमाने कमांड इंजेक्ट करने के लिए उपयोगकर्ता इनपुट हैंडलिंग में एक दोष का शोषण करती थी। कर्सर में, त्रुटि फ़ाइलों को संसाधित करते समय मापदंडों के अपर्याप्त सत्यापन में निहित थी, जो रिमोट कोड निष्पादन की अनुमति देती थी। दोनों खामियां टूल्स के हाल के संस्करणों को प्रभावित करती थीं। गूगल तुरंत पैच किए गए संस्करणों में अपडेट करने की सलाह देता है। सक्रिय शोषण के कोई मामले सामने नहीं आए हैं, लेकिन विकास वातावरण में इन टूल्स के व्यापक उपयोग के कारण जोखिम अधिक था।
जब कोड असिस्टेंट हैकर बनना चाहता है 😈
तो, गूगल के अनुसार, आपके पसंदीदा एआई टूल्स आपके टर्मिनल को हैकर्स के लिए एक मनोरंजन पार्क में बदल सकते थे। यह सब बिना आपकी एक उंगली हिलाए। जेमिनी सीएलआई और कर्सर, जो आपको प्रोग्राम करने में मदद करने के लिए डिज़ाइन किए गए थे, लगभग आपके सिस्टम को हैक करवाने में मदद कर रहे थे। अच्छा हुआ कि गूगल ने इसे ठीक कर दिया, इससे पहले कि कोई चालाक व्यक्ति यह तय करता कि आपका सोर्स कोड अनधिकृत छुट्टियों के लिए एक अच्छी जगह है। अपडेट करें, क्योंकि इन छेदों के बिना भी एआई पहले से ही काफी अप्रत्याशित है।