Striga rapporterer to upatchede sårbarheter, CVE-2026-42248 og CVE-2026-42249, i Ollamas Windows-skrivebordsklient. Funnet stammer fra en revisjon av Ollama-repoet, og CERT Polska tok over koordinasjonen 29. april 2026 etter at Ollama-vedlikeholderne ikke svarte på fem ukers henvendelser.
Første feil er rett frem. Auto-oppdaterens signaturverifisering eksisterer som funksjon, blir kalt, men gjør ingenting. Det som lastes ned blir kjørt. macOS-builden gjør ekte signatur-sjekking, men Windows-builden returnerer alltid «no error».
Andre feil er en path traversal: oppdatereren bygger den lokale stien til den staget installeren direkte fra HTTP-responsens headere, uten saneringskjøring. En angriper som kontrollerer oppdateringsresponsen kan sende en ETag-header med ../-sekvenser og skrive en vilkårlig kjørbar fil rett inn i brukerens Windows Startup-mappe.
«Den samme dropped binæren fyrer av ved hver påfølgende innlogging til filen fjernes.» — Bartłomiej Dmitruk, medgrunnlegger i Striga
For at angrepet skal lykkes må angriperen kontrollere oppdateringsresponsen. Tre veier finnes: kompromittere oppdaterings-infrastrukturen, omdirigere klienten via en lokal fothold (OLLAMA_UPDATE_URL-variabelen, hosts-redigering eller falskt rot-sertifikat), eller TLS-MITM på nettverksnivå. Auto-oppdatering er på som standard, og Ollama ligger som standard i Startup-mappen.
Striga verifiserte at alle fire kjede-indikatorer er til stede fra v0.12.10 til v0.23.0. Siste release v0.23.0 kom for to dager siden, fortsatt uten patch.
Hva bør du gjøre?
- Slå av «Auto-download updates» i Ollama-innstillingene. Det kortslutter bakgrunns-nedlastingen før path traversal-skrivingen kan skje.
- Fjern Ollama-snarveien fra
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startupfor å hindre den stille innloggings-eksekveringen. - Sjekk Startup-mappen din nå for kjørbare filer du ikke kjenner igjen. Fjern dem og roter relevante hemmeligheter.