FreeBSD 15.1-RC1が利用可能になりました。人工知能ツールの助けを借りて発見された6件の重大なセキュリティ勧告(SA-26:19からSA-26:24まで)が含まれています。最終安定版は6月にリリース予定です。修正された脆弱性には、ファイル記述子呼び出しによるカーネルのuse-after-free、rootへの権限昇格を可能にしていたptraceの検証欠落、そしてWiFiネットワークスキャン時にインストーラでリモートコード実行を許す脆弱性が含まれます。
深層パッチとバグを嗅ぎ分けるAI 🐛
最も厄介な修正は、ファイル記述子サブシステムのuse-after-freeで、ローカルで悪用されメモリを破損させる可能性がありました。一方、ptraceの欠陥は、非特権プロセスがシステムへの完全なアクセスを取得することを可能にしました。bsdinstallインストーラでは、悪意のあるWiFiアクセスポイントのスキャンにより、インストール中にリモートコード実行が引き起こされる可能性がありました。緩和策は公式パッチとreleng/15.1ブランチで利用可能です。
インストーラのWiFi:今や空腹なハッカーのためだけに 🍔
OSのインストーラが、WiFiネットワークをスキャンするだけでリモートコード実行を許してしまうのは、誰も望んでいない古典的な問題です。ブラウザを起動するときにルーターのパスワードも要求されるようなものです。AIが、FreeBSD_Update_Falsoという名前のアクセスポイントを賢い誰かが設置する前に、この穴を見つけてくれたのは幸いでした。さあ、インストーラが地雷原でなくなるかどうか、6月を待ちましょう。