Badacze z Microsoftu odkryli łańcuch luk w zabezpieczeniach, nazwany AutoJack, który pozwala na zdalne wykonanie kodu na komputerze użytkownika poprzez skompromitowanie lokalnego agenta AI. Atak polega na skierowaniu agenta przeglądającego sieć na specjalnie przygotowaną stronę internetową, której kod JavaScript może uzyskać dostęp do uprzywilemejowanych lokalnych usług i uruchomić proces na hoście bez potrzeby interakcji użytkownika czy uwierzytelnienia. Problem dotyczy konkretnych wersji deweloperskich frameworku AutoGen Studio, a jego podstawą jest brak uwierzytelnienia i zbyt daleko idące zaufanie do połączeń localhost.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)