A sebezhetőségre (CVE-2025-37899) Sean Heelan kiberbiztonsági kutató derített fényt, aki az OpenAI o3 modelljének képességeit használta ki. A 2025. május 20-án hivatalosan is megerősített sebezhetőség az SMB „logoff” parancskezelőjében egy use-after-free problémát tár fel, amely jelentős biztonsági kockázatot jelent – írta a TechMonitor.
Kiemelkedő matematikai képességek
A hiba gyökere az egyidejű munkamenet-műveletekben rejlik. Amikor egy szál feldolgozza a kijelentkezési parancsot, felszabadítja a sess->user objektumot. Ezzel egyidejűleg, ha egy másik kapcsolat munkamenet beállítását kezdeményezi ugyanahhoz a munkamenethez, hozzáférhet a sess->user objektumhoz, ami klasszikus use-after-free feltételekhez vezet. Az ilyen forgatókönyvek memóriakárosodást eredményezhetnek, ami lehetőséget ad a támadónak arra, hogy tetszőleges parancsokat hajtson végre kerneljogokkal.
A 2025. április 16-án megjelent OpenAI o3 modellje állítólag figyelemre méltó előrelépést mutat az érvelési képességek terén, különösen az összetett kód és a matematikai feladatok kezelésében.
Heelan szerint a modellnek a bonyolult kódstruktúrák értelmezésében való jártassága kulcsfontosságú volt a sebezhetőség azonosításában.
Ugrásszerű fejlődés az érvelésben
“Az o3-mal az LLM-ek ugrásszerű fejlődést értek el a kóddal kapcsolatos érvelési képességek terén” – írta Heelan a blogjában. A kutató szerint ezek a modellek növelik a hatékonyságot és az eredményességet a sebezhetőségek kutatásában, és az emberi auditorokhoz közeli teljesítményt nyújthatnak.
Bár a biztonsági szakemberek magas súlyossági besorolást adtak az o3 által azonosított sérülékenységnek, az Exploit Prediction Scoring System (EPSS) szerint a kihasználás valószínűsége alacsony, körülbelül 0,02 százalék. A sebezhetőség a Linux kernel több verzióját érinti – így a 6.12.27, 6.14.5 és 6.15-rc4 verziókat is.
A potenciális kockázatok csökkentéséhez a rendszergazdák azonnali figyelme szükséges – hangsúlyozta Heelan.
A CVE-2025-37899 mellett a kutató egy másik sebezhetőséget is azonosított, a CVE-2025-37778. Ez a sebezhetőség a Kerberos hitelesítési útvonalakat érinti a távoli ügyfél-munkamenet beállítása során. Mindkét hiba, a CVE-2025-37899 és a CVE-2025-37778, a széles körben használt rendszereken belüli jelentős biztonsági kihívásokat hangsúlyozza.
Az olyan Linux-disztribúciók, mint a SUSE, aktívan dolgoznak e sebezhetőségek javításán javítások révén. A SUSE biztonsági csapata közepes súlyosságúnak minősítette ezt a problémát, és sürgeti a felhasználókat, hogy amint elérhetővé válnak a frissítések, azonnal telepítsék azokat.
Nem helyettesíti az embert
Egyes vélemények szerint ez a mostani felfedezés sorsfordító pillanatot jelenthet az MI-vel támogatott biztonsági célú kutatási technikák terén. Ahelyett, hogy az emberi kutatók helyettesítésére szolgálnának, az o3-hoz hasonló MI-modellek olyan hatékony eszközökké válhatnak, amelyek a komplex kódbázisok mélyebb elemzését lehetővé téve növelik a kiberbiztonsági szakértők hatékonyságát és képességeit.
Heelan megjegyezte, az MI jelentősége felbecsülhetetlen abban, ahogy átalakítja a sebezhetőségek felderítésének és kezelésének módját. Egyúttal ígéretes új irányokat is kínál a globális digitális biztonsági keretek javítására.
(Kép: unsplash.com/Oleksandr Chumak)
