L’application ChatRTX de Nvidia, basée sur l’IA, a été lancée il y a à peine six semaines, mais a déjà reçu des correctifs pour deux vulnérabilités de sécurité qui ont activé des vecteurs d’attaque, notamment l’élévation de privilèges et l’exécution de code à distance.
ChatRTX, anciennement connu sous le nom de Chat with RTX, a été lancé en février pour fournir aux propriétaires de GPU Nvidia un chatbot IA pouvant fonctionner localement sur le matériel RTX 30 et 40 avec au moins 8 Go de VRAM. Bien que cette solution ne puisse pas promettre autant de puissance qu’une alternative basée sur le cloud, pouvoir l’exécuter localement a été un avantage pour les premiers utilisateurs.
L’un des inconvénients pour les utilisateurs des versions antérieures était qu’elles abritaient deux bugs de sécurité désignés CVE‑2024‑0082 et CVE‑2024‑0083. Ces failles existaient dans toutes les versions de ChatRTX jusqu’à la version 0.2. Ce dernier est évalué à un niveau de gravité moyen de 6,5, tandis que le premier est un problème de haut niveau de 8,2.
CVE‑2024‑0083 pourrait permettre aux attaquants de mener des attaques par déni de service, de voler des données et même d’exécuter du code à distance (RCE). Un score de 6,5 pour ces problèmes est relativement modeste, et bien d’autres peuvent obtenir plus de 9 points, voire le maximum de 10 sur 10 dans le cas de l’exploit Atlassian Confluence RCE.
L’autre vulnérabilité, CVE‑2024‑0082, permet le vol de données (encore une fois), la falsification de données et même l’élévation de privilèges. Ce problème justifie peut-être un score de gravité plus élevé, car l’élévation des privilèges peut rendre un ordinateur totalement ouvert aux intrusions.
Le RCE combiné à l’augmentation des privilèges pourrait également s’avérer un puissant combo. Nvidia affirme que c’est possible via des requêtes de fichiers ouverts et en provoquant des erreurs de script intersite qui permettent ensuite d’exécuter des scripts de navigateur. On ne sait pas si quelqu’un a réellement été compromis grâce à ces bugs ChatRTX. Nous avons contacté Nvidia pour obtenir des commentaires et nous mettrons à jour dès que nous aurons une réponse.
Tout ce que les utilisateurs doivent faire est de mettre à jour vers ChatRTX version 0.2. De manière confuse, Nvidia prévient que “les numéros de version de la dernière version concernée et de la version mise à jour sont tous deux 0,2”, alors réinstallez peut-être simplement complètement ChatRTX pour plus de sécurité. ®
2024-03-28 18:33:00
1711640974
#nouveau #robot #ChatRTX #Nvidia #corrigé #pour #les #bugs #sécurité #Register
