L’application ChatRTX de Nvidia, alimentée par l’IA, a été lancée il y a seulement six semaines mais a déjà reçu des correctifs pour deux vulnérabilités de sécurité qui ont permis des vecteurs d’attaque, y compris une escalade de privilège et une exécution de code à distance. ChatRTX, anciennement connu sous le nom de Chat with RTX, a été lancé en février pour fournir aux propriétaires de GPU Nvidia un chatbot IA pouvant s’exécuter localement sur du matériel de la série RTX 30 et 40 avec au moins 8 Go de VRAM. Bien que cette solution ne puisse pas promettre autant de puissance qu’une alternative basée sur le cloud, le fait de pouvoir l’exécuter localement a été un avantage pour les premiers utilisateurs. L’un des inconvénients pour les utilisateurs des versions précédentes était qu’il présentait deux failles de sécurité désignées sous les références CVE-2024-0082 et CVE-2024-0083. Ces failles existaient dans toutes les versions de ChatRTX jusqu’à la version 0.2. La dernière est évaluée à un niveau de gravité moyen de 6,5, tandis que la première est un problème de haut niveau évalué à 8,2. CVE-2024-0083 pourrait permettre aux attaquants d’effectuer des attaques par déni de service, de voler des données et même d’exécuter du code à distance (RCE). Une note de 6,5 pour ces problèmes est relativement faible, et de nombreux autres peuvent obtenir plus de 9 points, voire le maximum de 10 sur 10 dans le cas de l’exploitation Atlassian Confluence RCE. L’autre vulnérabilité, CVE-2024-0082, permet le vol de données (encore une fois), la falsification de données et même une escalade de privilège. Ce problème pourrait justifier une note de gravité plus élevée, car une escalade de privilège peut rendre un ordinateur totalement ouvert aux intrusions.
Menu
