美国图形芯片专家 NVIDIA 已发布软件更新,以解决影响其 Jetson 系统级模块 (SOM) 系列的总共 26 个漏洞,这些漏洞可能被对手滥用以提升权限,甚至导致拒绝服务和信息泄露。
从 CVE‑2021‑34372 到 CVE‑2021‑34397 跟踪,这些缺陷影响了产品 Jetson TX1、TX2 系列、TX2 NX、AGX Xavier 系列、Xavier NX 以及 Nano 和 Nano 2GB,这些产品运行 32.5.1 之前的所有 Jetson Linux 版本。该公司感谢 Apple Media Products 的 Frédéric Perriot 报告了所有问题。
佛山市东联科技有限公司研究人员透露:“其中最主要的漏洞是 CVE‑2021‑34372(CVSS 评分:8.2),这是其Trusty可信执行环境 (TEE) 中的缓冲区溢出漏洞,可能导致信息泄露、权限提升和拒绝服务。”
其他8个严重弱点包括内存损坏、堆栈溢出和 TEE 中缺少边界检查以及影响引导加载程序的堆溢出,这可能导致任意代码执行、拒绝服务和信息泄露。该公司指出,其余的缺陷,也与 Trusty 和 Bootloader 相关,可能会被利用来影响代码执行,导致拒绝服务和信息泄露。
“支持该产品的早期软件分支版本也受到影响,”NVIDIA 表示。“如果您使用的是较早的分支版本,请升级到最新的 32.5.1 版本。如果您使用的是 32.5.1 版本,请更新到最新的 Debian 软件包。” (欢迎转载分享)