Az NVidia Jetson SoC biztonsági rései kiteszik az adatlopás eszközeit
Múlt pénteken az chipgyártó NVidia olyan javításokat adott ki, amelyek számos sebezhetőséget és hibát orvosoltak a vállalat Jetson chipen (SoC) rendszerében.
A vállalat április 18-án kiad egy biztonsági közleményt, amelyben közzéteszi a javítások által érintett összes érintett biztonsági rés és hiba teljes részletét. Ezek között kilenc súlyos sérülékenység és további nyolc hiba volt, amelyek nem voltak ilyen magas biztonsági hatással.
A biztonsági rések lehetővé tették a potenciális rossz szereplők számára, hogy szolgáltatásmegtagadási támadásokat hajtsanak végre, vagy kiszűrjék az információkat az eszközökről.
A Jetson SoC általában megtalálható az IoT-eszközökben, robotokban és drónokban, valamint különböző beágyazott rendszerekben, különböző alkalmazásokkal. Az érintett Jetson család termékeinek listája, amelyek már javították ezeket a problémákat, tartalmazza az AGX Xavier, Xavier NX, TX1 és TX2, valamint a Jetson Nano terméket.
A közlemény a CVE-2021-34372 kódszámú biztonsági rést emeli ki a legsúlyosabbnak. Ez lehetővé tette a rossz szereplők számára, hogy puffertúlcsordulási támadást hajtsanak végre a Jetson SoC-t futtató eszközön. Annak ellenére, hogy a hackernek hálózati hozzáférésre lenne szüksége az áldozat rendszeréhez a támadás végrehajtásához, magát a hacket sem nagyon nehéz elhúzni.
Ezenkívül egy, a puffer túlcsordulási technikával kompromisszumos rendszert számos kiélezett fenyegetésnek is ki lehetne tüntetni, beleértve a szolgáltatás megtagadását, az információk nyilvánosságra hozatalát és a rossz színész számára az eszközre vonatkozó magasabb jogosultságokat.
A fennmaradó súlyos sérülékenységek közül további hat lehetővé tenné a támadást végrehajtó rossz színész számára szolgáltatásmegtagadási támadás végrehajtását. Számos egyéb sebezhetőség és hiba kapcsolódott ahhoz, hogy miként kezelték az eszközök memóriáját és kérési puffereit, és ez elsősorban a szolgáltatás teljes részleges megtagadásához vezethet.
A magas fenyegetettségű biztonsági rések fennmaradó részét CVE-2021-34373 néven követik nyomon a CVE-2021-34380 néven.
Jó hír, hogy kiadták a szoftverfrissítést, és a Jetson SoC hardvert futtató rendszerek és eszközök tulajdonosainak a lehető leghamarabb frissíteniük kell őket.
