Boletins de segurança

Confira a seguir a descrição de todos os boletins de segurança relacionados à Vertex AI.

GCP-2024-063

Publicado: 06/12/2024

Descrição Gravidade Observações

Uma vulnerabilidade foi descoberta na API Vertex AI que serve solicitações multimodais do Gemini, permitindo a ignorância do VPC Service Controls. Um invasor pode abusar do parâmetro fileURI da API para exfiltrar dados.

O que fazer?

Não é preciso fazer nada. Implementamos uma correção para retornar uma mensagem de erro quando um URL do arquivo de mídia é especificado no parâmetro fileUri e o VPC Service Controls está ativado. Outros casos de uso não são afetados.

Quais vulnerabilidades estão sendo resolvidas?

A API Vertex AI que atende às solicitações multimodais do Gemini permite incluir arquivos de mídia especificando o URL do arquivo de mídia no parâmetro fileUri. Esse recurso pode ser usado para ignorar perímetros do VPC Service Controls. Um invasor dentro do perímetro de serviço pode codificar dados sensíveis no parâmetro fileURI para contornar o perímetro de serviço.

Médio CVE-2024-12236