セキュリティに関する公開情報

ここでは、Vertex AI に関連するセキュリティに関する公開情報について説明します。

GCP-2024-063

公開日: 2024 年 12 月 6 日

説明 重大度 メモ

Gemini マルチモーダル リクエストを処理する Vertex AI API で脆弱性が見つかりました。これにより、VPC Service Controls をバイパスできる可能性があります。攻撃者は、API の fileURI パラメータを悪用してデータを漏洩させる可能性があります。

どうすればよいですか?

対応は不要です。fileUri パラメータでメディア ファイルの URL が指定され、VPC Service Controls が有効になっている場合にエラー メッセージを返す修正を実装しました。その他のユースケースは影響を受けません。

対処されている脆弱性

Gemini マルチモーダル リクエストを処理する Vertex AI API を使用すると、fileUri パラメータにメディア ファイルの URL を指定してメディア ファイルを含めることができます。この機能を使用して、VPC Service Controls の境界をバイパスできます。サービス境界内の攻撃者は、fileURI パラメータに機密データをエンコードして、サービス境界をバイパスする可能性があります。

CVE-2024-12236