Популярный инструмент для запуска больших языковых моделей на локальном компьютере - Ollama - получил две опасные уязвимости в своей версии для Windows. Они затрагивают механизм обновления программы и позволяют злоумышленнику удалённо выполнить произвольный код на устройстве жертвы. Проблемы были раскрыты в конце апреля 2026 года и получили идентификаторы CVE-2026-42248 и CVE-2026-42249. Первая уязвимость касается отсутствия проверки цифровой подписи загружаемых обновлений, вторая - некорректной обработки HTTP-заголовков, что даёт возможность записывать файлы за пределы предназначенного каталога.
Как устроена атака
Ollama для Windows обновляется автоматически и в фоновом режиме. Программа загружает новые версии без вмешательства пользователя. Этим и воспользовались исследователи безопасности. Выяснилось, что в Windows-версии, в отличие от других платформ, процедура проверки целостности загружаемого файла всегда возвращает успех. Иными словами, никакая цифровая подпись или подлинность не проверяются перед тем, как исполняемый файл будет перемещён в каталог подготовки и запущен. Такая ситуация описывается в CVE-2026-42248.
Вторая уязвимость (CVE-2026-42249) относится к механизму загрузки. Когда приложение запрашивает обновление, оно формирует локальный путь для сохранения временного файла, используя значения из HTTP-заголовков ответа. Эти значения не проверяются и передаются напрямую в функцию filepath.Join (объединения частей пути). В результате злоумышленник может подставить управляющие последовательности ../ (обход каталога) и записать вредоносные файлы в любое место, доступное текущему пользователю. Самое опасное: это может быть каталог автозагрузки Windows. Таким образом, после перезагрузки системы вредоносный код запустится автоматически.
Критичность ситуации возрастает, если объединить обе уязвимости. Атакующий может организовать атаку "человек посередине" (man-in-the-middle) - перехватить трафик обновления и подменить ответ сервера. Тогда он получает возможность отправить ложное обновление, которое не пройдёт проверку подлинности (её просто нет), а также изменить HTTP-заголовки, чтобы записать полезную нагрузку (исполняемый файл с вредоносным кодом) в автозагрузку. Поскольку Ollama для Windows устанавливает обновления молча и без взаимодействия с пользователем, жертва даже не узнает о произошедшем. Постоянное закрепление в системе обеспечено.
Какие версии под ударом
Исследователи протестировали версии с 0.12.10 по 0.17.5 и подтвердили их уязвимость. Другие версии не проверялись, но не исключено, что проблема затрагивает и более ранние, и более поздние релизы. Разработчики проекта были уведомлены об уязвимостях заранее, однако, по данным публикации, не предоставили подробностей об уязвимых версиях или сроках исправления. Это оставляет пользователей без официального патча и чётких рекомендаций.
## Кого касается угроза
Ollama широко используется разработчиками, исследователями данных и энтузиастами искусственного интеллекта, которые запускают языковые модели на локальных компьютерах. Особую опасность уязвимости представляют для корпоративных сред, где развёрнуты несколько экземпляров Ollama для Windows. Злоумышленник, получив доступ к одному компьютеру в сети, может скомпрометировать все системы, использующие автоматическое обновление инструмента. Кроме того, в атаке могут быть задействованы публичные точки доступа Wi-Fi (вайфай) - через них перехватить трафик проще всего.
Что делать специалистам
Пока нет официального обновления, эксперты рекомендуют временно отключить автоматическое обновление Ollama для Windows. Это можно сделать через настройки программы или, в крайнем случае, блокировав доступ приложения к серверам обновления через брандмауэр. Также стоит следить за официальным репозиторием проекта - патч может выйти в любой момент. Мониторинг сетевого трафика на предмет подозрительных перехватов тоже поможет снизить риск. Однако главный вывод из этой истории - очередное напоминание о том, что автоматические обновления без проверки подлинности и целостности представляют собой угрозу, которую нельзя игнорировать.
