Nvidia, bir buçuk ay önce yapay zeka algoritmalarına dayalı ChatRTX uygulamasını piyasaya sürdü, ancak bu kısa süre içinde uygulamada iki güvenlik açığı düzeltmek zorunda kaldı - bunlar, ayrıcalıkların yükseltilmesi ve uzaktan kod çalıştırma gibi çeşitli saldırı vektörlerini içeriyordu.
ChatRTX Uygulaması ve Özellikleri
ChatRTX, önceden "RTX ile Sohbet" adını taşıyan bir uygulama olarak Şubat ayında piyasaya sürüldü - bu, Nvidia grafik kartı sahiplerinin yerel olarak yapay zeka destekli bir sohbet botunu çalıştırmasına izin veriyor. Bunun için GeForce RTX 30 veya 40 serisi bir grafik kartı ve en az 8 GB video belleği gerekiyor. Bu, bulut tabanlı sohbet botlarına kıyasla daha mütevazı bir çözümdür, ancak yerel çalıştırma imkanı bu eksikliği telafi eder.
Güvenlik Açıkları ve Düzeltmeler
Nvidia ChatRTX'in erken sürümlerinde, 0.2'ye kadar olanlarında, CVE-2024-0082 ve CVE-2024-0083 numaralı iki güvenlik açığı bulunuyordu, bunların puanları sırasıyla 8,2 ve 6,5 üzerinden 10 idi. İlk güvenlik açığı, veri hırsızlığı ve değiş tokuşunu ve kullanıcı ayrıcalıklarının yükseltilmesini mümkün kılıyor; ikincisi, hizmet reddi saldırıları (DoS), veri çalma ve uzaktan kod çalıştırma gerçekleştirmeyi sağlıyor.
Saldırı Yöntemleri ve Önerilen Çözümler
Nvidia, bu tür saldırıların dosya açma istekleri ve cross-site scripting (XSS) yöntemi ile gerçekleştirilebileceğini belirtti. Bu güvenlik açıklarından dolayı herhangi bir sistem kompromisinin gerçekleşip gerçekleşmediği hakkında bilgi bulunmamaktadır. Bu açıklardan kurtulmak için geliştirici, ChatRTX'i 0.2 sürümüne güncellemenizi öneriyor, ancak ifadesinin biraz kafa karıştırıcı olduğu, "son etkilenen [açıklarla] güncellenmiş sürüm - 0.2" şeklinde. Belki de sadece güncellemek değil, uygulamayı yeniden yüklemek daha iyidir.
Gelecekteki Güncellemeler ve Güvenlik Önlemleri
Nvidia'nın ChatRTX uygulamasında meydana gelen güvenlik açıkları, genellikle yazılım geliştirme sürecinin bir parçasıdır. Nvidia, gelecekteki güncellemelerle güvenlik önlemlerini artırmaya devam edecek ve kullanıcıların güvenliğini sağlamak için çaba harcayacaktır. Kullanıcılar, güncellemeleri düzenli olarak kontrol etmeli ve herhangi bir güvenlik açığı bildirildiğinde hemen uygulamalıdır.
