Americký špecialista na grafické čipy NVIDIA vydal softvérové aktualizácie, ktoré riešia celkovo 26 zraniteľností ovplyvňujúcich sériu systému Jetson System-on-Module (SOM), ktoré by mohli protivníci zneužiť na zvýšenie privilégií a dokonca viesť k odmietnutiu služby a zverejneniu informácií.
Sledované od CVE-2021-34372 do CVE-2021-34397, chyby ovplyvňujú produkty Jetson TX1, TX2 séria, TX2 NX, AGX Xavier séria, Xavier NX a Nano a Nano 2GB so všetkými verziami Jetson Linux staršími ako 32.5.1. Spoločnosť pripísala Frédéricovi Perriotovi z Apple Mediálne produkty na hlásenie všetkých problémov.
Rad NVIDIA Jetson pozostáva zo vstavaných Linuxových AI a výpočtových modulov počítačového videnia a vývojárskych súprav, ktoré sa primárne starajú o aplikácie počítačového videnia založené na AI a autonómne systémy, ako sú mobilné roboty a drony.
Hlavnou zraniteľnosťou je CVE-2021-34372 (skóre CVSS: 8.2), chyba pretečenia vyrovnávacej pamäte v jej dôveryhodnom spúšťacom prostredí Trusty (TEE), ktorá by mohla viesť k sprístupneniu informácií, eskalácii privilégií a odmietnutiu služby.
Osem ďalších kritických slabín zahŕňa poškodenie pamäte, pretečenie zásobníka a kontroly chýbajúcich hraníc v TEE, ako aj pretečenie haldy ovplyvňujúce bootloader, ktoré by mohlo viesť k ľubovoľnému spusteniu kódu, odmietnutiu služby a zverejneniu informácií. Ostatné chyby, súvisiace aj s Trusty a Bootloader, by mohli byť zneužité na ovplyvnenie vykonávania kódu, čo by spôsobilo odmietnutie služby a zverejnenie informácií, poznamenala spoločnosť.
“Ovplyvnené sú aj staršie verzie softvéru, ktoré podporujú tento produkt,” uviedla NVIDIA. “Ak používate staršie vydanie pobočky, inovujte na najnovšiu verziu 32.5.1 uvoľniť. Ak používate 32.5.1 vydanie, aktualizujte na najnovšie balíčky Debianu.”
