נווידיה לקחה לאחרונה פעולה עוצמתית כדי לטפל בסדרה של פגיעות פירמוואר, כשזיהית סה"כ 11 ממפוגעות. מוצג ביניהן שלוש פגיעות חשובות שאליהן יותר מדייק השקע, הדורשות תשומת לב מיידית.
הבאגים החשובים שקיבלו את השמות CVE-2023-31029, CVE-2023-31030 ו-CVE-2023-31024, וציון CVSS 9.3 ו-9.0 בהתאמה. גילוי הפגיעות קשור מיוחד לבקרת הניהול של נווידיה (BMC) בווידאו של המקלדת, העכבר והעכבר התקשורתי (KVM) שנמצא בשימוש במערכת דוור עצמה DGX A100.
הגילוי מציין כי הבאגים האלה מוציאים לפועל את המערכת לחשיפה מול התקפות מחסום קוביות הזיכרון המותקנות בעזרת חבילת רשת מיוחדת, שיכולים להיווצר על ידי התקקיה של תוקף שאינו מאומת. פעילות עליהם יכולה לגרום להשפעות שונות לרעה, כולל ביצוע קוד שאינו עוקבת, סריטת שירות, חשיפת מידע ותערובת נתונים.
נווידיה גם הכירה בשני באגים נוספים שנמצאים בשימוש בשירות ה-KVM של הדגמים DGX H100 ו-DGX A100 שלהם, הבאגים מסומנים בשמות CVE-2023-25529 ו-CVE-2023-25530. אף שלבאגים אלו ציון נמוך יותר, עם ציון CVSS של 8.0, הם עדיין מהווים איום משמעותי. CVE-2023-25529 עשוי לגלות את אסימון ההתחברות עוקב, בעוד ש-CVE-2023-25530 הוא באג לאימות הקלט.
על מנת להקטין את כל הסיכונים האבטחתיים הללו, נווידיה ממליצה למשתמשים לעדכן את המערכת שלהם לגרסאות העדכניות ביותר. בפרט, גרסאות המערכת שקודמו ל-00.22.05 חשופות לפגיעת הבאגים של BMC. תיקונים נמסרו גם עבור פגיעות עם ציון יחסית נמוך יותר בגרסאות ה- SBIOS של DGX A100 לפני 1.25.
על-ידי התייחסות מהירה לפגיעות פירמוואר אלו ומסיקתה מבחדש תיקונים הנחוצים, נווידיה מוכיחה את מחויבותה לשמירה על האבטחה והתאמת המערכות שלה. מתבקשים בחום לפעול באופן מיידי ולהחיל את העדכונים הספציפיים כדי להבטיח את בטיחות ההתקנים והנתונים שלהם.
The source of the article is from the blog maltemoney.com.br