Автор: Андрей Михалюк, CEO CoreWin
Привет всем энтузиастам и профессионалам IT и кибербезопасности. Сегодня я хочу поделиться чем-то интересным и, на первый взгляд, неважным, а именно уязвимостью. Да-да, это уж очень тривиальная обыденность и еще одна уязвимость, которых возникает в день в среднем более 110, как будто не должна быть чрезвычайной новостью. Конечно, мы наблюдаем за уязвимостями и реагируем на наиболее угрожающие из них, а как иначе? Это важно, несомненно, но превратилось в обыденность, в рутину.
Вот и я начинал свое утро понедельника с кофе и просмотра обзоров о новообнаруженных уязвимостях, в первую очередь обращая внимание на имеющие статус critical. И мне попалась на глаза критическая Use-After-Free уязвимость Google Chrome (сразу интересно, потому что это точно самый распространенный браузер).
Кратко о типе уязвимостей Use-After-Free
Use-After-Free (сокращенно UAF) – это тип ошибки в программировании, которая возникает, когда приложение продолжает использовать кусок памяти после того, как его уже “освободили”.
Почему Use-After-Free – это критическая уязвимость?
Представьте, что оперативная память – это набор номерных комнат в отеле:
- Программа бронирует комнату и размещает свои данные.
- Когда данные больше не нужны, приложение освобождает комнату, сигнализируя системе, что ресурс можно передать другому клиенту.
- Если после этого программа продолжает обращаться в уже освободившуюся комнату, возникает ситуация Use-After-Free.
А теперь следите за руками, как злоумышленники превратили этот баг в оружие:
- Поскольку система памяти в ОС повторно использует освобожденные участки, злоумышленник по специально сформированному запросу создает новый объект в том же месте. Теперь вместо легитимных данных в памяти расположены данные, контролируемые злоумышленником.
- Уязвимый процесс по ошибке снова обращается к объекту, который считался уже удаленным. Он читает или выполняет код из блока памяти, содержимое которого теперь контролирует злоумышленник.
- Дальше множество вариантов. Если в памяти был указатель на функцию, злоумышленник подменяет его в адрес своего вредоносного кода. Это приводит к выполнению произвольного кода. Если это объект с правами доступа, можно поднять привилегии процесса. Если это буфер данных, злоумышленник может извлечь информацию другого пользователя или процесса.
- В зависимости от контекста злоумышленник получает: удаленное выполнение кода в браузере (например, в Chrome или Edge); перехват чувствительных данных из памяти; контроль над системной службой с высшими привилегиями.
Уязвимость в библиотеке ANGLE
Фух… с теорией закончили! Как вы уже поняли, Google Chrome мог выполнить кусок кода с сайта, который прорабатывает, если в этом сайте написана хитрая атака, а именно открытой библиотеки ANGLE от Google. В браузерах (в частности, Google Chrome, Microsoft Edge) ANGLE применяется для рендеринга графики WebGL. Благодаря ему, приложения, использующие 3D-графику, могут работать на Windows, Linux, macOS и других ОС без изменения кода. То есть поиграв в визуальную новеллу на itch.io или зайдя на красивый сайт с графикой «где все крутится» на вашем ПК на фоне мог запуститься процесс, который вытащил бы червя и заразил систему (например).
Внимание! Самое интересное! Эту уязвимость нашел искусственный интеллект
11 августа 2025 года Big Sleep идентифицировал уязвимость Use-After-Free в компоненте ANGLE. Big Sleep – это автоматизированный исследователь на основе ИИ, комбинирующий динамический анализ, fuzzing и машинное обучение. Его задача – находить аномалии в использовании памяти. Google впервые сообщил об этой находке в блоге Chrome Releases.
Понимаете, что произошло? ИИ самостоятельно проявил критическую уязвимость CVE в популярном софте. Полностью сам и автоматически. Я почувствовал себя немного в киберпанк-будущем, где достигнута сингулярность автоматизированная кибербезопасность, где ИИ не просто помогает, а заменяет ручную работу исследователей в обнаружении zero-day.
До этого ИИ применялся только как вспомогательный инструмент. Использовали ML-модели для приоритизации багов, анализа патчей, подсказок в fuzzing. Но самостоятельное открытие zero-day и присвоение CVE раньше не фиксировалось. Это событие – исторический прецедент: в CVE-описании впервые указан не человек, а ИИ как первооткрыватель.
Вывод
Что мы можем сделать, пока такие исследователи на основе ИИ не коммерциализированы и не доступны к покупке? Ответ – выбирать такие решения, которые уже сейчас готовятся к будущему с ИИ, то есть те кибербезопасные компании, которые уже сейчас AI-ready. Пример – Invicti Security, недавно представивший обновленный продукт с новым AI DAST engine или Mend AI, автоматизирующий выявление и оценку рисков компонентов ИИ, обеспечивает приоритетное устранение уязвимостей, соблюдение политик безопасности, усиление системных подсказок и проведение red teaming-тестирования поведения искусственного интеллекта, специфичного для ваших приложений.
