Nvidia son zamanlarda bir dizi firmware güvenlik açığını ele almak için kararlı bir adım attı ve toplamda 11 adet açığı belirledi. Bu açıklardan üçü kritik olarak değerlendirilerek hemen dikkate alınması gerekenler arasında yer aldı.
CVE-2023-31029, CVE-2023-31030 ve CVE-2023-31024 adları verilen kritik hatalar, sırasıyla 9.3 ve 9.0 CVSS puanı aldı. Bu güvenlik açıkları özellikle Nvidia’nın DGX A100 sisteminde kullanılan klavye, video ve fare (KVM) özelliğine sahip ana kart yönetim denetleyicisinde (BMC) bulunmaktadır.
Bildirime göre, bu hatalar sistemi potansiyel bir istif taşma saldırısına karşı açık bırakmakta ve bu saldırılar kimlik doğrulama yapılmamış bir saldırgan tarafından özel olarak oluşturulan ağ paketleriyle başlatılabilmektedir. Bu güvenlik açıklarının istismarı ardından keyfi kod yürütme, hizmet reddi, bilgi sızdırma ve veri manipülasyonu gibi çeşitli sonuçlar ortaya çıkabilir.
Nvidia ayrıca DGX H100 ve DGX A100 modellerinin KVM hizmetinde var olan iki ek güvenlik açığını, CVE-2023-25529 ve CVE-2023-25530 adlarıyla kabul etti. Bu hatalar CVSS puanı olarak hafifçe daha düşük bir değere sahip olsa da (8.0), yine de ciddi bir tehdit oluşturmaktadır. CVE-2023-25529, bir kullanıcının oturum belirtecinin sızmasına neden olabilirken, CVE-2023-25530 ise bir giriş doğrulama hatasıdır.
Bu güvenlik risklerini azaltmak için Nvidia, kullanıcıları sistemlerini en güncel sürümlere güncellemeleri konusunda uyarıyor. Özellikle 00.22.05’den önceki tüm sürümler BMC hatalarına karşı savunmasızdır. Daha düşük sınıflandırmalı hatalar için ise DGX A100 SBIOS sürümleri 1.25’ten önce düzeltmeler sunulmuştur.
Bu firmware güvenlik açıklarını hızlı bir şekilde ele alarak gerekli düzeltmeleri sunarak, Nvidia sistemlerinin güvenlik ve bütünlüğünü koruma konusundaki taahhüdünü göstermektedir. Kullanıcılar cihazlarının ve verilerinin güvenliğini sağlamak için derhal harekete geçmeleri ve sağlanan güncellemeleri uygulamaları konusunda şiddetle teşvik edilmektedir.
The source of the article is from the blog myshopsguide.com