Nvidia hat kürzlich entschlossene Maßnahmen ergriffen, um eine Reihe von Firmware-Schwachstellen zu beheben, von denen insgesamt 11 identifiziert wurden. Drei davon wurden als entscheidend eingestuft und erfordern sofortige Aufmerksamkeit.
Die kritischen Bugs mit den Namen CVE-2023-31029, CVE-2023-31030 und CVE-2023-31024 haben jeweils eine CVSS-Bewertung von 9.3 bzw. 9.0 erhalten. Diese Schwachstellen beziehen sich speziell auf den Baseboard-Management-Controller (BMC) von Nvidia in der Tastatur-, Video- und Maus-Daemon (KVM), die von ihrem DGX A100-System verwendet wird.
Gemäß der Empfehlung werden diese Schwachstellen von unautorisierten Angreifern über einen speziell erstellten Netzwerk-Paket initiiert und machen das System anfällig für sogenannte Stack Overflow-Angriffe. Die Ausnutzung dieser Schwachstellen kann zu verschiedenen Konsequenzen führen, darunter die Ausführung beliebigen Codes, Verweigerung des Dienstes, Offenlegung von Informationen und Datenmanipulation.
Nvidia hat außerdem zwei weitere Schwachstellen im KVM-Dienst ihrer Modelle DGX H100 und DGX A100 anerkannt, die die Bezeichnungen CVE-2023-25529 und CVE-2023-25530 tragen. Obwohl diese Bugs mit einer CVSS-Bewertung von 8.0 etwas niedriger eingestuft sind, stellen sie dennoch eine erhebliche Bedrohung dar. CVE-2023-25529 kann beispielsweise das Benutzersitzungstoken offenlegen, während CVE-2023-25530 ein Input-Validierungsfehler ist.
Um diese Sicherheitsrisiken zu minimieren, fordert Nvidia die Benutzer auf, ihre Systeme auf die neuesten verfügbaren Versionen zu aktualisieren. Insbesondere sind alle Versionen vor 00.22.05 anfällig für die BMC-Schwachstellen. Fixes wurden auch für geringer eingestufte Schwachstellen in DGX A100 SBIOS-Versionen vor 1.25 bereitgestellt.
Indem Nvidia diese Firmware-Schwachstellen umgehend angeht und notwendige Fixes anbietet, zeigt das Unternehmen sein Engagement für die Sicherheit und Integrität seiner Systeme. Benutzer werden dringend aufgefordert, sofort zu handeln und die bereitgestellten Updates anzuwenden, um die Sicherheit ihrer Geräte und Daten zu gewährleisten.
The source of the article is from the blog maestropasta.cz