ChatRTX tarafından 26 Mart 2024'te yayımlanan bir güvenlik güncellemesi, saldırganların kötü amaçlı kod yürütmesine ve etkilenen sistemlerdeki verilerde değişiklik yapmasına olanak tanıyan iki güvenlik açığını (CVE-2024-0082 ve CVE-2024-0083) giderir.
Güvenlik açıkları, uygunsuz giriş doğrulama (CWE-20) ve uygunsuz ayrıcalık yönetimi (CWE-269) uygulamalarından kaynaklanmaktadır; saldırganlar sistemi istenmeyen kod çalıştırmaya veya yetkisiz verilere erişim sağlamaya yönlendirebilir.
Ortak Güvenlik Açığı Puanlama Sistemi (CVSS v3.1), bu güvenlik açıklarına yüksek risk ciddiyet puanı (8.2) atar ve bu riskleri azaltmak için ChatRTX'in en son sürümüne güncellemenin önemini vurgular.
Bir saldırgan, Windows için NVIDIA ChatRTX'teki bir güvenlik açığından yararlanarak ayrıcalıklarını artırabilir, hassas bilgileri sızdırabilir veya güvenlik açığı olan bir sistemdeki verilere müdahale edebilir.
Özel hazırlanmış açık dosya isteklerinin gönderilmesi, uygulamanın kullanıcı arayüzünde (UI) bulunan bu güvenlik açığını tetikleyebilir. Bu güvenlik açığından yararlanılabilirlik, kolayca gerçekleştirilebilecek düşük karmaşıklık olarak derecelendirilmiştir.
Ayrıca, saldırgan açısından düşük ayrıcalıklar gerektirir; bu da, başarılı bir istismarın sistemin tamamen tehlikeye girmesiyle sonuçlanabileceği durumlarda, saldırganın tam kontrolü ele geçirmesine neden olabileceği durumlarda sömürülebilirliği daha da artırır.
Güvenlik açığı, olası sonuçların ciddiyeti nedeniyle yüksek bir potansiyel etkiye sahiptir ve bu güvenlik açığının genel önem derecesi de yüksektir (8,2); bu, uygunsuz ayrıcalık yönetimi olarak bilinen bir zayıflık kategorisi olan CWE-269 kapsamına girer.
Windows için NVIDIA ChatRTX'te, saldırganların kullanıcı arayüzündeki bir siteler arası komut dosyası çalıştırma (XSS) kusuru yoluyla kullanıcıların tarayıcılarına kötü amaçlı komut dosyaları eklemesine olanak tanıyan kritik bir güvenlik açığı (CVE-2024-0083) bulunmaktadır.
Saldırganların kurbanın makinesinde rastgele kod çalıştırmasına, uygulamayı çökerterek hizmet reddine neden olmasına veya hassas bilgileri çalmasına olanak tanıyabilir.
Güvenlik açığı, tam bir uzaktan kod yürütme olanağının bulunmaması nedeniyle orta önem derecesine sahip ancak yine de önemli bir risk teşkil ediyor.
NVIDIA'nın genel risk değerlendirmesi, kurulu bileşenlerdeki farklılıklar nedeniyle sistemin güvenlik açığını doğru şekilde yansıtmayabilir.
Doğru güvenlik duruşunu sağlamak için NVIDIA, benzersiz sistem yapılandırmasıyla ilişkili belirli risklerin değerlendirilmesini önerir.
Windows için NVIDIA ChatRTX yazılımına yönelik, 0.2'den önceki tüm sürümlerdeki güvenlik açıklarını (CVE-2024-0082, CVE-2024-0083) gideren bir güvenlik güncellemesi bulunmaktadır.
Güncellemeyi yüklemek için ChatRTX İndirme sayfasından ChatWithRTX_installer_3_5.zip dosyasını indirin ve hem etkilenen sürümün hem de güncellenen sürümün 0.2 olarak etiketlendiğini unutmayın.
Ayrıca güncel sürümden emin olmak için indirilen dosyanın adının ChatWithRTX_installer_3_5.zip olduğunu doğrulayın.
Belge ilk olarak 26 Mart 2024'te, geçmiş günlüğü zaman içinde belgede yapılan değişikliklerin bir kaydı olarak hizmet veren ve gerekirse önceki sürümlerle karşılaştırmaya ve geri almaya olanak tanıyan sürüm 1.0 ile yayınlandı.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.