yapay zeka ffmpeg'de 21 sıfır-gün açık buldu, chrome da 429 bug yamaladı

arkadaşlar, bu hafta iki bomba haber geldi peş peşe. birincisi: bir güvenlik startupı ffmpeg’de 21 tane sıfır-gün açık bulmuş. “e ne var bunda” demeyin, bu açıkları bulan bir otonom yapay zeka ajanı. ikincisi: google chrome 149’u yayınladı ve 429 tane güvenlik açığına yama attı. evet yanlış okumadınız, 429. chrome tarihinin en büyük yama paketi bu.

şimdi bi durun, en ilginç kısım şu: ffmpeg’deki 21 açığı yapay zeka buldu ama chrome’daki 429 açığı insanlar bulmuş. yapay zeka iş başında beyler.

ffmpeg meselesi

ffmpeg nedir bilmeyen yoktur herhalde ama hatırlatalım: video işleyen her şeyin içinde olan medya kütüphanesi. telefonunuzda, tarayıcınızda, medya oynatıcınızda, hatta buzdolabınızda bile olabilir (şaka değil, iot cihazlarda da var). yani bu açıklar ciddi ciddi yaygın bir etki alanına sahip.

güvenlik startupı (isim verilmemiş haberde) otonom bir yapay zeka ajanı geliştirmiş. bu ajan tek başına ffmpeg kodunu tarıyor, test ediyor ve açık buluyor. 21 tane sıfır-gün zafiyet bulmuş.

spoiler: bunlar henüz yamalanmamış açıklar, yani sıfır-gün statüsündeler. detaylar henüz açıklanmadı ama ffmpeg kullanan herkes kulak kabartmalı.

yapay zeka vs insan: 21-0

şu an için yapay zeka 21 açık bulmuş, insanlar chrome’da 429 bulmuş diyebilirsiniz ama dikkat: chrome’daki açıklar zaman içinde farklı araştırmacılar tarafından bulunmuş. ffmpeg’dekileri tek bir yapay zeka ajanı kısa sürede bulmuş. bu işin geleceği için ciddi bir gösterge.

chrome 149: rekor kıran yama paketi

google chrome 149’u yayınladı ve 429 güvenlik açığı yamadı. chrome tarihindeki en büyük yama paketi bu. normalde 20-40 arası açık yamarlar, bu sefer sayı astronomik.

sayılar ve seviyeler

chrome ekibi henüz tam detay vermedi ama bu kadar açık olunca her seviyeden zafiyet var demektir:

• yüksek seviye memory corruption açıkları
• use-after-free zafiyetleri (klasik chrome hastalığı)
• sandbox bypass potansiyeli olan açıklar
• çeşitli güvenlik iyileştirmeleri

edit: google genelde detaylı cve listesini birkaç gün sonra yayınlar, şimdilik sayı belli sadece.

ne yapmalısınız agalar

chrome kullanıcıları için

chrome otomatik güncellenecektir zaten ama kontrol etmek isterseniz:

# chrome versiyonunuzu kontrol edin
# chrome://settings/help adresine gidin
# ya da terminalde (linux):
google-chrome --version

# versiyon 149 veya üstü olmalı

dikkat: kurumsal ortamlardaysanız ve otomatik güncelleme kapalıysa, hemen güncelleyin. 429 açık şaka değil.

ffmpeg kullanıcıları için

şimdilik bekleme modundayız. startup henüz detayları açıklamadı, ffmpeg ekibi de yama hazırlamadı. ama yapmanız gerekenler:

1. ffmpeg versiyonunuzu kontrol edin:

ffmpeg -version

2. güncelleme takibinde kalın:

   • ffmpeg güvenlik listesini izleyin
   • distro güvenlik güncellemelerini takip edin
   • önümüzdeki günlerde yamalar gelecek

3. kritik sistemlerde önlem alın:

   • ffmpeg’i doğrudan internete açık servislerde kullanıyorsanız dikkatli olun
   • güvenilmeyen kaynaklardan gelen medya dosyalarını işlemekten kaçının
   • mümkünse input validation’ı sıkılaştırın

sistem yöneticileri için

# ubuntu/debian sistemlerde ffmpeg güncellemesi için:
sudo apt update
sudo apt list --upgradable | grep ffmpeg
# yama gelince:
sudo apt upgrade ffmpeg

# rhel/centos/rocky:
sudo dnf check-update ffmpeg
# yama gelince:
sudo dnf update ffmpeg

# container kullanıyorsanız:
# base image'lerinizi güncelleyin
# ffmpeg içeren tüm image'leri rebuild edin

spoiler: ffmpeg o kadar yaygın ki, kullandığınızı bilmediğiniz yerlerde bile olabilir. dependency check yapın.

yapay zeka güvenlik testlerinde

bu olay aslında güvenlik dünyası için bir dönüm noktası. otonom yapay zeka ajanları artık ciddi ciddi açık bulabiliyor. birkaç yıl önce “yapay zeka bug bounty’leri alacak” dense gülerdiniz, şimdi 21 sıfır-gün buluyor.

iyi tarafı:

• daha hızlı açık bulma
• insan gözünün kaçırdığı pattern’leri yakalama
• 7/24 çalışma (yorulmaz, tatil istemez)

kötü tarafı:

• kötü niyetli tipler de aynı teknolojiyi kullanabilir
• yapay zeka buluyor ama yamalamıyor (henüz)
• false positive oranı bilinmiyor

timeline

• bu hafta: güvenlik startupı 21 ffmpeg zafiyeti açıkladı (yapay zeka buldu)
• bu hafta: chrome 149 yayınlandı (429 açık yamalandı)
• önümüzdeki günler: ffmpeg detayları ve yamaları gelecek
• takip edin: güvenlik listelerini ve update kanallarını

kaynaklar

• the hacker news - orijinal haber
• chrome 149 release notes
• ffmpeg güvenlik sayfası

not: cve numaraları henüz atanmadı, atandıkça güncelleyeceğim burayı.

sonuç

arkadaşlar, iki önemli gelişme var önümüzde:

1. chrome’u hemen güncelleyin. 429 açık rekor sayı, içinde kritik seviyede olanlar mutlaka vardır.

2. ffmpeg güncellemelerini takip edin. 21 sıfır-gün açık şaka değil, yamalar gelince acil uygulayın.

3. yapay zeka artık güvenlik testlerinde ciddi oyuncu. hem iyi hem kötü taraf için. hazırlıklı olun.

edit: ffmpeg kullanan servislerde input validation’ı sıkılaştırın, güvenilmeyen kaynaklardan gelen medya dosyalarını işlerken ekstra dikkatli olun. yamalar gelene kadar en azından saldırı yüzeyini küçültün.

bkz: chrome güvenlik güncellemeleri, ffmpeg zafiyetleri, yapay zeka güvenlik testi

hadi kolay gelsin, güncelleme vakti geldi yine.

Bu içerik yapay zeka tarafından oluşturulmuştur.