Автор: Андрій Михалюк, CEO CoreWin
Привіт усім ентузіастам і професіоналам IT та кібербезпеки. Сьогодні я хочу поділитись чимось цікавим і, на перший погляд, неважливим, а саме – вразливістю. Так-так, це вже дуже тривіальна буденність і ще одна вразливість, яких виникає в день в середньому понад 110 наче не повинна бути надзвичайною новиною. Звісно ми спостерігаємо за вразливостями й реагуємо на найбільш загрозливі з них, а як інакше? Це важливо, без сумніву, але перетворилося в буденність, в рутину.
Ось і я починав свій ранок понеділка з кави та перегляду оглядів про нововиявлені вразливості, у першу чергу звертаючи увагу на ті, що мають статус critical. І трапилась мені критична Use-After-Free вразливість Google Chrome (зразу цікаво, бо це точно найпоширеніший браузер).
Коротко про тип вразливостей Use-After-Free
Use-After-Free (скорочено UAF) – це тип помилки в програмуванні, яка виникає, коли програма продовжує використовувати шматок пам’яті після того, як його вже “звільнили”.
Чому Use-After-Free – це критична вразливість?
Уявіть, що оперативна пам’ять – це набір номерних кімнат у готелі:
- Програма бронює кімнату й розміщує там свої дані.
- Коли дані більше не потрібні, програма звільняє кімнату, сигналізуючи системі, що ресурс можна передати іншому клієнту.
- Якщо після цього програма продовжує звертатися до вже звільненої кімнати, виникає ситуація Use-After-Free.
А тепер слідкуйте за руками, як зловмисники перетворили цей баг на зброю:
- Оскільки система пам’яті в ОС повторно використовує звільнені ділянки, зловмисник через спеціально сформований запит створює новий об’єкт у тому ж самому місці. Тепер замість легітимних даних у пам’яті розташовані дані, контрольовані зловмисником.
- Вразливий процес помилково знову звертається до об’єкта, який вважався вже видаленим. Він читає або виконує код із блоку пам’яті, вміст якого тепер контролює зловмисник.
- Далі безліч варіантів. Якщо в пам’яті був вказівник на функцію, зловмисник підміняє його на адресу свого шкідливого коду. Це призводить до виконання довільного коду. Якщо це був об’єкт із правами доступу, можна підняти привілеї процесу. Якщо це був буфер даних, зловмисник може витягнути інформацію іншого користувача чи процесу.
- Залежно від контексту, зловмисник отримує: віддалене виконання коду у браузері (наприклад, у Chrome або Edge); перехоплення чутливих даних із пам’яті; контроль над системною службою з вищими привілеями.
Вразливість у бібліотеці ANGLE
Фух… з теорією закінчили! Як ви вже зрозуміли Google Chrome міг виконати шмат коду з сайту, який опрацьовує, якщо в цьому сайті написана хитра атака, а саме відкритої бібліотеки ANGLE від Google. У браузерах (зокрема Google Chrome, Microsoft Edge) ANGLE застосовується для рендерингу графіки WebGL. Завдяки йому, вебдодатки, що використовують 3D-графіку, можуть працювати на Windows, Linux, macOS та інших ОС без зміни коду. Тобто погравши в візуальну новелу на itch.io або зайшовши на красивий сайт з графікою «де все крутиться» на вашому ПК на фоні міг запуститись процес, який витягнув би хробака і заразив систему (наприклад).
Увага! Найцікавіше! Цю вразливість знайшов штучний інтелект
11 серпня 2025 року Big Sleep ідентифікував вразливість Use-After-Free у компоненті ANGLE. Big Sleep – це автоматизований дослідник на основі ШІ, що комбінує динамічний аналіз, fuzzing та машинне навчання. Його завдання – знаходити аномалії у використанні пам’яті. Google вперше повідомив про цю знахідку у блозі Chrome Releases.
Розумієте що сталось? ШІ самостійно виявив критичну вразливість CVE у популярному софті. Повністю сам і автоматично. Я відчув себе трохи в кіберпанк майбутньому, де досягнута сингулярність автоматизована кібербезпека, де ШІ не просто допомагає, а замінює ручну роботу дослідників у виявленні zero-day.
До цього ШІ застосовувався лише як допоміжний інструмент. Використовували ML-моделі для пріоритизації багів, аналізу патчів, підказок у fuzzing. Але самостійне відкриття zero-day та присвоєння CVE раніше не фіксувалося. Ця ж подія – це історичний прецедент: у CVE-описі вперше зазначено не людину, а ШІ як першовідкривача.
Висновок
Що можемо зробити ми, допоки такі дослідники на основі ШІ не комерціалізовані та не доступні до купівлі? Відповідь – обирати такі рішення які вже зараз готуються до майбутнього з ШІ, тобто ті кібербезпекові компанії, що вже зараз AI-ready. Приклад – Invicti Security, нещодавно представило оновлений продукт з новим AI DAST engine або Mend AI, що автоматизує виявлення та оцінку ризиків компонентів ШІ, забезпечує пріоритетне усунення вразливостей, дотримання політик безпеки, посилення системних підказок і проведення red teaming-тестування поведінки штучного інтелекту, специфічної для ваших застосунків.
