ИИ-приложение ChatRTX (ранее Chat with RTX) компании Nvidia было запущено чуть больше месяца назад, но уже получило исправления для двух серьезных уязвимостей, которые позволяли осуществить повышение привилегий и удаленное выполнение кода.
ChatRTX предлагает владельцам GPU Nvidia чат-бота с искусственным интеллектом, который способен работать локально на оборудовании серий RTX 30 и 40 (потребуется не менее 8 ГБ VRAM).
В ChatRTX нашли сразу две проблемы, получившие идентификаторы CVE-2024-0082 (6,5 балла по шкале CVSS) и CVE-2024-0083 (8,2 балла по шкале CVSS).
Первая уязвимость, CVE-2024-0083, позволяет злоумышленникам проводить атаки типа «отказ в обслуживании», похищать данные и даже осуществлять удаленное выполнение кода (RCE). Вторая уязвимость, CVE-2024-0082, тоже позволяет похищать и подменять данные, а также повышать привилегии.
RCE в сочетании с повышением привилегий может оказаться мощной комбинацией, но Nvidia не вдается в подробности, лишь отмечая, что проблемы были связаны с открытыми файловыми запросами и XSS, которые позволяют запускать браузерные скрипты.
В компании не сообщили, не был ли кто-то из пользователей атакован и скомпрометирован «благодаря» багам в ChatRTX.
