Nvidia a récemment pris des mesures décisives pour remédier à une série de vulnérabilités du firmware, avec un total de 11 identifiées. Parmi celles-ci, trois ont été classées comme cruciales, nécessitant une attention immédiate.
Les bogues critiques, nommés CVE-2023-31029, CVE-2023-31030 et CVE-2023-31024, ont reçu respectivement une note CVSS de 9.3 et 9.0. Ces vulnérabilités sont spécifiquement liées au contrôleur de gestion de la carte mère (BMC) de Nvidia dans le démon clavier, vidéo et souris (KVM) utilisé par leur système DGX A100.
L’avis indique que ces bogues exposent le système à des attaques potentielles de débordement de pile, pouvant être lancées par un attaquant non authentifié via un paquet réseau spécialement conçu. L’exploitation de ces vulnérabilités peut entraîner diverses conséquences, notamment l’exécution de code arbitraire, le déni de service, la divulgation d’informations et la manipulation de données.
Nvidia a également reconnu deux vulnérabilités supplémentaires présentes dans le service KVM de leurs modèles DGX H100 et DGX A100, portant les noms CVE-2023-25529 et CVE-2023-25530. Bien que ces bogues soient légèrement moins graves avec un score CVSS de 8.0, ils représentent toujours une menace importante. CVE-2023-25529 a le potentiel de divulguer le jeton de session d’un utilisateur, tandis que CVE-2023-25530 est un bogue de validation d’entrée.
Pour atténuer ces risques de sécurité, Nvidia invite les utilisateurs à mettre à jour leurs systèmes avec les dernières versions disponibles. En particulier, toutes les versions antérieures à 00.22.05 sont vulnérables aux bogues du BMC. Des correctifs ont également été fournis pour les vulnérabilités moins graves dans les versions du SBIOS DGX A100 antérieures à 1.25.
En abordant rapidement ces vulnérabilités du firmware et en proposant les corrections nécessaires, Nvidia démontre son engagement à maintenir la sécurité et l’intégrité de ses systèmes. Les utilisateurs sont vivement encouragés à agir rapidement et à appliquer les mises à jour fournies pour garantir la sécurité de leurs appareils et de leurs données.
The source of the article is from the blog coletivometranca.com.br