गूगल ने अपने एकीकृत विकास पर्यावरण एंटीग्रैविटी में एक महत्वपूर्ण सुरक्षा दोष को ठीक कर दिया है। शोधकर्ताओं द्वारा पहचानी गई यह समस्या दूरस्थ रूप से कोड निष्पादित करने की अनुमति देती थी। यह कमजोरी फ़ाइल निर्माण सुविधा को खोज उपकरण में खराब इनपुट सैनिटाइज़ेशन के साथ जोड़ती थी। इस दोष को कंपनी के आधिकारिक पैच के साथ ठीक कर दिया गया है।
प्रॉम्प्ट इंजेक्शन के माध्यम से शोषण तंत्र 🔓
यह सुरक्षा छेद IDE की खोज प्रणाली में स्थित था। उपयोगकर्ता इनपुट को सही ढंग से मान्य और साफ न करने के कारण, एक हमलावर दुर्भावनापूर्ण प्रॉम्प्ट इंजेक्ट कर सकता था। ये प्रॉम्प्ट फ़ाइल निर्माण कार्यक्षमता का लाभ उठाकर सिस्टम को कमांड निष्पादित करने के लिए धोखा देते थे। इस प्रकार, एंटीग्रैविटी में डिज़ाइन की गई सुरक्षा बाधाओं को दरकिनार करते हुए, मनमाना कोड निष्पादन प्राप्त किया जाता था।
जब IDE से कुछ माँगना शाब्दिक हो जाता है 🤖
ऐसा लगता है कि कुछ उपयोगकर्ताओं ने व्याख्या की कि खोज उपकरण को किसी भी अनुरोध का शाब्दिक रूप से पालन करना चाहिए। उपयोगी होने के अत्यधिक उत्साह में, सिस्टम ने अंततः उन निर्देशों का पालन किया जो उसे नहीं करने चाहिए थे। यह एक अनुस्मारक है कि कभी-कभी, अत्यधिक उत्साही सहायता अप्रत्याशित आगंतुकों के लिए दरवाजा खोल सकती है। गूगल को अपने सहायक को नई सीमाएँ सिखानी पड़ी हैं।