Nvidia закърпи експлоатационния самозаглъх за всички gpus tegra
Съдържание:
На 18 юли Nvidia пусна актуализация на защитата за Jetson TX1 с драйверния пакет Tegra Linux (L4T). Свързаният бюлетин за сигурност предлага много малко подробности за това, което е поправила Nvidia, но на GitHub, изследовател на име Triszka Balázs разкри, че компанията кръпва грешка, която позволява на злонамерен код да се пуска на „всяко едно устройство Tegra, пуснато досега. „Чрез онова, което той нарече експлоатация на Selfblow.
Selfblow експлоатацията засегна графичните процесори Tegra, но не и Nintendo Switch
Отказът се дължеше на проблем с зареждащото устройство Tegra. Balázs обясни, че "nvtboot (NVC) зарежда nvtboot-cpu (TBC), без първо да валидира адреса за зареждане, което води до произволно записване в паметта" , което означава, че експлоатацията на Selfblow "напълно побеждава сигурното зареждане дори с най-новият фърмуер. " Това не би се отразило на Nintendo Switch, който също има Tegra GPU, поради секцията за сигурно зареждане е различна.
Посетете нашето ръководство за най-добрите графични карти на пазара
Балаш каза, че разкри уязвимостта на Nvidia на 9 март, като планира публично да я разкрие на 15 юни. Това е повече време, отколкото повечето изследователи дават на компаниите да отговорят на пропуските в сигурността (стандартът на индустрията е 90 дни), но все още не беше достатъчно Nvidia да разшири темата. Балас каза, че Nvidia каза, че ще отстрани недостатъка през май, но след това дори не му е дал идентификатор на CVE до юли.
Така че „Реших да разкрия това доброволно на обществото, за да ги насърча да го поправят, за да можем да имаме по-добри и по-сигурни устройства“. Nvidia отговори, като публикува актуализацията на защитата на 18 юли, но Balázs все още не беше доволен, актуализирайки своята "readme" на GitHub, за да каже, че Nvidia не включи в бюлетина за сигурност препратка към Selfblow и направи грешка в измерването на тежестта на провала по скалата на CWE.
Nvidia "коригира обобщението, за да опише по-точно потенциалните въздействия" на 19 юли. Той също благодари на Balázs за откриването и разкриването на уязвимостта. Повече информация за актуализацията на защитата може да бъде намерена чрез Nvidia DevZone, където тя също може да бъде изтеглена. Няма друг пластир за експлоатацията на Selfblow; Единственият начин да защитите устройство, което използва чипсет Tegra, е да инсталирате тази актуализация.
Шрифт TomshardwareЕлектронните изкуства раздават всички dlcs от Battlefield 4 на всички платформи
Electronic Arts дава всички DLC на Battlefield 4 на всички платформи, на които играта е достъпна, този път всичко наведнъж.
Amd също ще закърпи своите процесори срещу призрак
AMD потвърди, че работят върху нов микрокод на процесора и нова актуализация за защита на потребителите на Spectre.
Хакер прониква в уязвимите рутери, за да ги закърпи всички
Хакер прониква в уязвимите рутери, за да ги закърпи всички. Научете повече за този хакер и действията, които прави.
