Bulletins de sécurité

La section suivante décrit tous les bulletins de sécurité liés à Vertex AI.

GCP-2024-063

Publié: 06/12/2024

Description Gravité Remarques

Une faille a été détectée dans l'API Vertex AI qui traite les requêtes multimodales Gemini, ce qui permet de contourner VPC Service Controls. Un pirate informatique peut abuser du paramètre fileURI de l'API pour exfiltrer des données.

Que dois-je faire ?

Aucune action n'est requise. Nous avons implémenté un correctif pour renvoyer un message d'erreur lorsqu'une URL de fichier multimédia est spécifiée dans le paramètre fileUri et que VPC Service Controls est activé. Les autres cas d'utilisation ne sont pas concernés.

Quelles failles sont corrigées ?

L'API Vertex AI qui traite les requêtes multimodales Gemini vous permet d'inclure des fichiers multimédias en spécifiant l'URL du fichier multimédia dans le paramètre fileUri. Cette fonctionnalité peut être utilisée pour contourner les périmètres VPC Service Controls. Un pirate informatique à l'intérieur du périmètre de service peut encoder des données sensibles dans le paramètre fileURI pour contourner le périmètre de service.

Moyenne CVE-2024-12236