Nvidia har for nylig iværksat beslutsom handling for at løse en række firmwaresårbarheder, hvor der er identificeret i alt 11. Blandt disse er tre blevet vurderet som kritiske og kræver øjeblikkelig opmærksomhed.
De kritiske fejl, der er navngivet CVE-2023-31029, CVE-2023-31030 og CVE-2023-31024, har fået en CVSS-score på henholdsvis 9,3 og 9,0. Disse sårbarheder er specifikt relateret til Nvidias bundkortstyringscontroller (BMC) i tastatur-, video- og mus (KVM)-daemonen, der anvendes af deres DGX A100-system.
Advarslen angiver, at disse fejl udsætter systemet for potentielle stack overflow-angreb, som kan initieres af en ikke-autentificeret angriber gennem en specielt udformet netværkspakke. Udnyttelse af disse sårbarheder kan resultere i forskellige konsekvenser, herunder udførelse af vilkårlig kode, afvisning af service, videregivelse af oplysninger og manipulation af data.
Nvidia har også erkendt to yderligere sårbarheder i KVM-tjenesten for deres DGX H100- og DGX A100-modeller med navnene CVE-2023-25529 og CVE-2023-25530. Selvom disse fejl vurderes lidt lavere med en CVSS-score på 8,0, udgør de stadig en betydelig trussel. CVE-2023-25529 har potentiale til lækage af en brugers sessions-token, mens CVE-2023-25530 er en fejl i indtastningsvalidering.
For at afbøde disse sikkerhedsrisici opfordrer Nvidia brugerne til at opdatere deres systemer til de nyeste tilgængelige versioner. Især er alle versioner før 00.22.05 sårbare over for BMC-fejlene. Rettelser er også blevet leveret til lavere vurderede sårbarheder i DGX A100 SBIOS-versioner før 1.25.
Ved at hurtigt adressere disse firmwaresårbarheder og tilbyde nødvendige rettelser demonstrerer Nvidia sin forpligtelse til at opretholde sikkerheden og integriteten af sit system. Brugere opfordres kraftigt til at handle hurtigt og anvende de leverede opdateringer for at sikre deres enheders og dataers sikkerhed.
The source of the article is from the blog aovotice.cz