Es gibt wieder neue Sicherheitslücken in glibc. Dabei betrifft eine die syslog()-Funktion, die andere qsort(). Letztere Lücke existiert dabei seit glibc 1.04 und somit seit 1992. Entdeckt und beschrieben wurden die Lücken von der Threat Research Unit bei Qualys.

Die syslog-Lücke ist ab Version 2.37 seit 2022 enthalten und betrifft somit die eher die neuen Versionen von Linux-Distributionen wie Debian ab Version 12 oder Fedora ab Version 37. Hierbei handelt es sich um einen "heap-based buffer overflow" in Verbindung mit argv[0]. Somit ist zwar der Anwendungsvektor schwieriger auszunutzen, weil in wenigen Szenarien dieses Argument (der Programmname) dem Nutzer direkt überlassen wird, die Auswirkungen sind jedoch umso schwerwiegender. Mit der Lücke wird eine lokale Privilegienausweitung möglich. Die Lücke wird unter den CVE-Nummern 2023-6246, 2023-6779 und 2023-6780 geführt.

Bei der qsort-Lücke ist eine Memory Corruption möglich, da Speichergrenzen an einer Stelle nicht überprüft werden. Hierfür sind allerdings bestimmte Voraussetzungen nötig: die Anwendung muss qsort() mit einer nicht-transitiven Vergleichsfunktion nutzen (die allerdings auch nicht POSIX- und ISO-C-konform wären) und über eine große Menge an zu sortierenden Elementen verfügen, die vom Angreifer bestimmt werden. Dabei kann ein malloc-Aufruf gestört werden, der dann zu weiteren Angriffen führen kann. Das Besondere an dieser Lücke ist ihr Alter, da sie bereits im September 1992 ihren Weg in eine der ersten glibc-Versionen fand.

Bei der GNU C-Bibliothek (glibc) handelt es sich um eine freie Implementierung der C-Standard-Bibliothek. Sie wird seit 1987 entwickelt und ist aktuell in Version 2.38 verfügbar. Morgen, am 1. Februar, erscheint Version 2.39.

Google hat sich bereits verpflichtet, freiwillige KI-Verpflichtungen umzusetzen, die man mit Branchenvertretern im Juli im Weißen Haus eingegangen sei. Ein Baustein sei die Ausweitung des Bug-Hunter-Programms. Dazu gibt es nun Einzelheiten.

Die Ausweitung der an die Entdecker von Sicherheitslücken in Google-Programmen auf KI-Systeme ist beschlossene Sache. Der Konzern nennt sechs Bereiche, in denen künftig Prämien für die Aufdeckung von Problemen und Schwachstellen gezahlt werden und auch die Bedingungen für die Auszahlung.

Zu den Kategorien zählen Prompt-Attacken, Training Data Extraction. Modell Manipulationen und Diebstahl, sowie Störeinflüsse und nicht kategorisierte Schwachstellen. Letztere müsse man dann auf ihre Qualifikation als Bug oder Fehlverhalten gemäß den Google-Kriterien abklopfen. Im Beitrag von Google sind die jeweiligen Bedingungen genannt, die zu einer Auszahlung der Prämie führen können, falls der Bug anerkannt wird. Die Höhe der Prämien ist noch nicht definiert.

Der Beitrag Google baut Bug-Hunter-Programm auf KI aus erschien zuerst auf Linux-Magazin.

Das hinter ChatGPT stehende Unternehmen OpenAI hat ein Bug Bounty Programm gestartete. Die Geldprämien hängen laut OpenAI vom Schweregrad und den Auswirkungen der gemeldeten Probleme ab. Die Belohnungen reichen von 200 US-Dollar für weniger schwerwiegende Entdeckungen bis zu 20.000 US-Dollar für außergewöhnliche Entdeckungen.

Das Bug Bounty Programm sei eine Möglichkeit, die wertvollen Erkenntnisse von Sicherheitsforschern anzuerkennen und zu belohnen, die dazu beitragen, unsere Technologie und unser Unternehmen sicher zu halten, schreibt OpenAI.

Das Programm wird mit Bugcrowd als Partner abgewickelt, einer Bug-Bounty-Plattform. Der Melde- und Belohnungsprozess solle damit für alle Teilnehmer möglichst reibungslos funktionieren. Detaillierte Richtlinien und Regeln für die Teilnahme finden Interessierte auf der Bug Bounty Programm Seite von OpenAI. Dort weist OpenAI insbesondere auch darauf hin, dass Probleme, die sich auf den Inhalt von Prompts und Antworten der KI beziehen, nicht in den Geltungsbereich des Programms fallen und nicht belohnt werden, es sei denn, sie haben zusätzliche, direkt nachweisbare Sicherheitsauswirkungen auf einen Dienst, heißt es. Es genügt also nicht, der KI nur eine falsche Antwort zu entlocken, um eine Belohnung zu erhalten.

Der Beitrag OpenAI legt Bug Bounty Programm auf erschien zuerst auf Linux-Magazin.

Mit dem Open Source Software Vulnerability Rewards Program (OSS VRP) hat Google sein Bug-Bounty-Programm auf Sicherheitslücken in den Open-Source-Projekten mit eigener Beteiligung erweitert.

Als Verwalter wichtiger Projekte wie Golang, Angular und Fuchsia zähle Google zu den größten Mitwirkenden und Nutzern von Open Source weltweit, schreibt Francis Perron, Open Source Security Technical Program Manager von Google in einem Blogbeitrag.

Mit der Aufnahme von Googles OSS VRP in das Vulnerability Reward Programs (VRP) könne man nun das Auffinden von Fehlern belohnen, die sich möglicherweise auf das gesamte Open-Source-Ökosystem auswirken können, so der Manager weiter.

Das ursprüngliche VRP-Programm nähere sich seinem 12-jährigen Jubiläum. Im Laufe der Zeit habe man die VRP-Reihe neben eigener Software um Programme für Chrome, Android und andere Bereiche erweitert. Insgesamt seien im Rahmen dieser Programme mehr als 13.000 Einreichungen mit einer Gesamtsumme von über 38 Millionen Dollar belohnt worden, heißt es im Blogbeitrag.

Das Programm bezieht sich laut Google auf alle aktuellen Versionen von Open-Source-Software, die in den öffentlichen GitHub-Repositories von Google gespeichert seien, dazu zählten etwa die Verzeichnisse Google, GoogleAPIs und GoogleCloudPlatform.

Die höchsten Belohnungen sollen zunächst für Sicherheitslücken vergeben werden, die in den sensibelsten Projekten gefunden werden, teilt Google mit. Dazu zähle man Bazel, Angular, Golang, Protokollpuffer und Fuchsia. Diese Liste solle dann erweitert werden. Im Blogbeitrag sind die Teilnahmebedingungen erläutert.

Der Beitrag Google startet Open Source Software Vulnerability Rewards Program erschien zuerst auf Linux-Magazin.