Ostatnio Nvidia załatała kilka lub w swoich chipach Jetson z serii system-on-module (SOM). Hakerzy wykorzystywali je do eskalacji uprawnień i przeprowadzania ataków DoS. Układami, których dotyczyła luka, były Jetson TX1, seria TX2, TX2 NX, seria AGX Xavier, Xavier NX, a także Nano i Nano 2 GB z systemem Jetson Linux w wersji starszej niż 32.5.1.

Najpoważniejsza luka to CVE-2021-34372 i ma wynik CVSS równy 8,2. To usterka przepełnienia bufora w zaufanym środowisku wykonawczym (Trusted Execution Environment - TEE) o nazwie Trusty. Może skutkować ujawnieniem informacji, eskalacją uprawnień i odmową usługi (denial-of-service).

Zobacz również:

• 8 błędów strategii danych, których należy unikać
• 5G - rozwój jeszcze przed nami, 6G - tuż tuż, za rogiem
• "Dostajemy 200 stopionych kart RTX 4090 miesięcznie". Serwis ostrzega

"Sterownik zawiera lukę w kodzie analizującym komunikaty protokołu NVIDIA OTE, w której przepełnienie liczby całkowitej w obliczeniach rozmiaru malloc() prowadzi do przepełnienia bufora, co może skutkować ujawnieniem informacji, eskalacją uprawnień i odmową usługi (DoS)" - czytamy w biuletynie bezpieczeństwa Nvidii.

To jednak nie wszystko. Firma wprowadziła również poprawki obejmujące uszkodzenie pamięci, przepełnienia stosu i sprawdzanie brakujących granic w TEE. Istnieją również przepełnienia mające wpływ na bootloadera, które mogą prowadzić do wykonania dowolnego kodu, odmowy usługi i ujawnienia informacji. Jak dodaje Nvidia, "dotknięte zostały również wcześniejsze wersje oprogramowania, które obsługują ten produkt. Jeśli używasz wcześniejszej wersji, zaktualizuj ją do najnowszej 32.5.1. Jeśli używasz wersji 32.5.1, zaktualizuj jeszcze pakiety Debiana."

Problemy związane z urządzeniami IoT są często martwymi punktami w wielu organizacjach. Firmy wprowadzają rozwiązania zabezpieczające, które albo z jakiegoś powodu nie obejmują urządzeń IoT, albo są one niewystarczające. Warto traktować IoT z taką samą uważnością, jak inne rozwiązania stosowane w firmie. Jeśli coś ma dostęp do internetu, powinno być należycie zabezpieczone, włącznie ze wsparciem IT, które dba o bezpieczeństwo.