„NVidia Jetson SoC“ pažeidžiamumai atskleidžia duomenų vagystės įrenginius
Praėjusį penktadienį mikroschemų gamintoja „NVidia“ išleido pataisas, susijusias su daugeliu įmonės „Jetson“ sistemos lustuose (SoC) sistemos pažeidžiamumų ir klaidų.
Balandžio 18 d. Įmonė išleidžia saugos biuletenį, kuriame paskelbia išsamią informaciją apie visus pašalintus trūkumus ir klaidas, kurios kelia nerimą. Tarp jų buvo devyni rimti pažeidžiamumai ir dar aštuonios klaidos, kurios neturėjo tokio didelio saugumo poveikio.
Pažeidžiamumas leido potencialiems blogiems dalyviams įvykdyti paslaugų teikimo atmetimo išpuolius arba išfiltruoti informaciją iš įrenginių.
Paprastai „Jetson SoC“ yra daiktų interneto įrenginiuose, robotuose ir bepiločiuose orlaiviuose, taip pat įvairiose įterptosiose sistemose su skirtingomis programomis. Paveiktų „Jetson“ šeimos produktų, kuriems šios problemos buvo pataisytos, sąrašas apima „AGX Xavier“, „Xavier NX“, TX1 ir TX2, taip pat „Jetson Nano“.
Biuletenyje pabrėžiama, kad pažeidžiamumas, užkoduotas CVE-2021-34372, yra pats sunkiausias. Tai leido blogiems aktoriams įvykdyti buferio perpildymo ataką įrenginiui, kuriame veikia „Jetson SoC“. Nors įsilaužėliui atlikti ataką reikės tinklo prieigos prie aukų sistemos, patį įsilaužimą nėra labai sunku ištraukti.
Be to, sistemai, pažeistai naudojant šią buferio perpildymo techniką, būtų dar labiau pakenkta daugybei grėsmių, įskaitant paslaugų atsisakymą, informacijos atskleidimą ir blogą veikėją, kuris gautų padidintas privilegijas įrenginyje.
Iš likusių pašalintų rimtų pažeidžiamumų dar šeši taip pat leistų išpuolį įvykdžiusiam blogam veikėjui įvykdyti paslaugų atsisakymo ataką. Nemažai kitų pažeidžiamumų ir klaidų buvo susiję su tuo, kaip buvo tvarkoma įrenginių atmintis ir užklausų buferiai, ir tai pirmiausia galėjo sukelti dalinį visišką paslaugų atsisakymą.
Likusi didelės grėsmės lygio spraga stebima kaip CVE-2021-34373 per CVE-2021-34380.
Geros naujienos yra tai, kad programinės įrangos atnaujinimas yra išleistas ir bet kokių sistemų ir įrenginių, kuriuose veikia „Jetson SoC“ aparatinė įranga, savininkai turėtų juos kuo greičiau atnaujinti.
