Sicherheitsbulletins

Im Folgenden werden alle Sicherheitsbulletins im Zusammenhang mit Vertex AI beschrieben.

GCP-2024-063

Veröffentlicht: 06.12.2024

Beschreibung Schweregrad Hinweise

In der Vertex AI API, die multimodale Gemini-Anfragen verarbeitet, wurde eine Sicherheitslücke entdeckt, die eine Umgehung von VPC Service Controls ermöglicht. Ein Angreifer kann den Parameter fileURI der API möglicherweise missbrauchen, um Daten zu exfiltrieren.

Was soll ich tun?

Sie müssen nichts unternehmen. Wir haben eine Fehlerkorrektur implementiert, die eine Fehlermeldung zurückgibt, wenn im Parameter „fileUri“ eine URL für eine Mediendatei angegeben ist und VPC Service Controls aktiviert ist. Andere Anwendungsfälle sind davon nicht betroffen.

Welche Sicherheitslücken werden behoben?

Mit der Vertex AI API, die multimodale Gemini-Anfragen verarbeitet, können Sie Mediendateien einbinden, indem Sie die URL der Mediendatei im Parameter fileUri angeben. Mit dieser Funktion können VPC Service Controls-Perimeter umgangen werden. Ein Angreifer innerhalb des Dienstperimeters könnte sensible Daten im Parameter fileURI codieren, um den Dienstperimeter zu umgehen.

Mittel CVE-2024-12236