È stata rilevata una falla di sicurezza in Ollama, il popolare software di intelligenza artificiale locale. La vulnerabilità, classificata come lettura fuori dai limiti, consente a un attaccante remoto di accedere ad aree di memoria del processo senza autorizzazione. Ciò espone dati sensibili come chiavi, token o informazioni utente, il tutto senza necessità di accesso fisico al sistema.
Dettagli tecnici della falla di sicurezza 🔍
La vulnerabilità sfrutta un errore nella gestione delle richieste in arrivo, dove il software non convalida correttamente i limiti di lettura nei buffer di memoria. Un attaccante può inviare richieste malevole progettate per forzare il processo a restituire il contenuto di indirizzi di memoria non allocati. Ciò include frammenti di dati di altre applicazioni o del sistema operativo stesso. Lo sfruttamento remoto aumenta il rischio, poiché chiunque abbia accesso alla rete su cui gira Ollama potrebbe tentare l'attacco senza credenziali precedenti.
Ollama, l'assistente che condivide anche i tuoi segreti 😅
Perché a quanto pare avere un'IA locale non era abbastanza emozionante. Ora risulta che Ollama non solo elabora le tue domande, ma ti regala anche un tour della sua memoria interna senza che tu lo chieda. È come avere un amico che, invece di mantenere i segreti, li urla in pubblico. La prossima cosa sarà che l'IA ti consiglierà ristoranti basandosi sui dati bancari che ha filtrato senza volerlo. Tutto molto utile, a dire il vero.