Серьезная уязвимость обнаружена в чат-боте ChatRTX от Nvidia. Выпущен срочный патч

28 марта 2024, 15:23 / Технологии → Новости / Технологии

Выяснилось, что чат-бот Nvidia

NVIDIA Corporation (NASDAQ: NVDA) — американская компания, один из крупнейших разработчиков графических ускорителей и процессоров, а также наборов системной логики. На рынке продукция компании известна под такими торговыми марками как GeForce, nForce, Quadro, Tesla, ION и Tegra. Компания была основана в 1993 году. По состоянию на август 2006 года в корпорации насчитывалось более 8 тысяч сотрудников, работающих в 40 офисах по всему миру. Википедия

ChatRTX, ранее известный как Chat with RTX, содержит серьезные уязвимости безопасности в ChatRTX 0.2 и всех предыдущих версиях. К счастью, последняя версия ChatRTX 0.2, доступная на странице прямой загрузки Nvidia, немедленно решает эти проблемы. ChatRTX — это программное обеспечение Nvidia в стиле ChatGPT, которое использует дополненную генерацию извлечения (RAG) в тандеме с программным обеспечением Nvidia Tensort-RT LLM и ускорением RTX, чтобы пользователи могли обучать чат-бота на своих личных данных.

Конкретные уязвимости идентифицируются стандартной отраслевой системой CWE (Common Weakness Enumeration) как атаки с использованием межсайтовых сценариев (CWE-79) и атаки с неправильным управлением привилегиями (CWE-269). Обе уязвимости пользовательского интерфейса позволяют злоумышленникам получить доступ, которого у них не должно быть, причем CWE-79 соответствует выполнению кода, отказу в обслуживании и потенциальным атакам типа «отказ в обслуживании». Между тем, CWE-269 соответствует атакам повышения привилегий, раскрытия информации и подделки данных.

Удаленное выполнение кода печально известно как одна из самых опасных уязвимостей для аппаратного или программного обеспечения, поскольку оно позволяет злоумышленникам запускать в вашей системе практически все, что им нравится (кейлоггеры, трекеры и т. д.). Это соответствует устраненной уязвимости CWE-79, хотя она предназначена конкретно для сценариев браузера.

Еще одна актуальная форма кибератаки, проявляющаяся в уязвимости CWE-269, — это «повышение привилегий», при котором злоумышленник, по сути, предоставляет себе административные привилегии над вашей системой и ее файлами. Это, очевидно, само по себе весьма опасно, но опасность только усугубляется наличием уязвимости CWE-79.

К счастью, похоже, что Nvidia быстро решила эту проблему, как только о ней стало известно, и до сих пор нет сообщений о том, что эти эксплойты действительно кем-то использовались.

Если повезет, все затронутые пользователи применят свежее обновление Nvidia ChatRTX до того, как эти уязвимости смогут на них повлиять. На данный момент программное обеспечение остается бета-версией, без каких-либо сроков выхода полноценной версии.