Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
L’applicazione AI ChatRTX (precedentemente Chat with RTX) di Nvidia è stata lanciata poco più di un mese fa, ma ha già ricevuto correzioni per due gravi vulnerabilità che consentivano l’escalation dei privilegi e l’esecuzione di codice remoto.
ChatRTX offre ai possessori di GPU Nvidia un chatbot AI che può essere eseguito localmente su hardware delle serie RTX 30 e 40 (richiede almeno 8 GB di VRAM).
ChatRTX ha rilevato due problemi contemporaneamente, che hanno ricevuto gli identificatori CVE-2024-0082 (6,5 punti sulla scala CVSS) e CVE-2024-0083 (8,2 punti sulla scala CVSS).
La prima vulnerabilità, CVE-2024-0083, consente agli aggressori di condurre attacchi di negazione del servizio, rubare dati e persino eseguire l’esecuzione di codice in modalità remota (RCE). Anche la seconda vulnerabilità, CVE-2024-0082, consente il furto e la sostituzione dei dati, nonché l’escalation dei privilegi.
L’RCE combinato con l’escalation dei privilegi può essere una combinazione potente, ma Nvidia non entra nei dettagli, notando solo che i problemi erano legati alle richieste di file aperti e XSS, che consentono l’esecuzione degli script del browser.
La società non ha detto se qualcuno degli utenti è stato attaccato o compromesso “grazie” ai bug in ChatRTX.
