Nvidia opravila vykorisťovanú samovraždu pre všetky gpus tegra
Obsah:
Spoločnosť Nvidia 18. júla vydala aktualizáciu zabezpečenia pre Jetson TX1 s balíkom ovládačov Tegra Linux (L4T). Súvisiaci bezpečnostný bulletin poskytoval veľmi málo podrobností o tom, čo spoločnosť Nvidia opravila, ale výskumník menom Triszka Balázs odhalil, že spoločnosť opravuje chybu, ktorá umožňovala spustiť škodlivý kód na „každom doteraz vydanom zariadení Tegra. „Prostredníctvom toho, čo nazval vykorisťovanie Selfblow.
Využitie funkcie Selfblow ovplyvnilo GPU Tegra, ale nie Nintendo Switch
Zlyhanie bolo spôsobené problémom so zavádzačom Tegra. Balázs vysvetlil, že „nvtboot (NVC) načíta nvtboot-cpu (TBC) bez toho, aby najskôr overil adresu načítania, čo vedie k svojvoľnému zápisu do pamäte“ , čo znamená, že vykorisťovanie Selfblow „úplne prelomí bezpečné zavedenie systému aj keď najnovší firmvér. “ Nemalo by to vplyv na prepínač Nintendo, ktorý má tiež GPU Tegra, pretože v sekcii zabezpečeného zavádzania je iný.
Navštívte nášho sprievodcu najlepšími grafickými kartami na trhu
Balázs uviedol, že zraniteľnosť Nvidia odhalil 9. marca s plánmi na verejné odhalenie 15. júna. To je viac času, než väčšina vedcov dáva spoločnostiam reagovať na bezpečnostné chyby (priemyselný štandard je 90 dní), ale Nvidia stále nestačila na to, aby sa touto témou zaoberala. Balázs uviedol, že Nvidia uviedla, že chybu opraví v máji, ale až do júla jej nepriradil identifikátor CVE.
„Rozhodol som sa to zverejniť v dobrej viere verejnosti, aby som ich povzbudil, aby ho opravili, aby sme mohli mať lepšie a bezpečnejšie zariadenia.“ Nvidia odpovedala zaslaním bezpečnostnej aktualizácie 18. júla, Balázs však stále nebol spokojný, aktualizoval svoj „readme“ časopisu GitHub a tvrdil, že Nvidia nezahrnula odkaz na Selfblow v bezpečnostnom bulletine a urobila chybu pri meraní závažnosti zlyhania. na stupnici CWE.
Spoločnosť Nvidia 19. júla „opravila súhrn, aby presnejšie opísala potenciálne vplyvy“. Poďakoval tiež Balázsovi za odhalenie a odhalenie zraniteľnosti. Viac informácií o aktualizácii zabezpečenia nájdete v Nvidia DevZone, kde si ju môžete tiež stiahnuť. Neexistuje žiadna iná záplata pre využitie Selfblow; Jediným spôsobom, ako brániť zariadenie, ktoré používa chipset Tegra, je inštalácia tejto aktualizácie.
Písmo TomshardwareVšetky podrobnosti o toshiba rc100, ssd nvme pre všetky rozpočty
Už poznáme všetky technické vlastnosti Toshiba RC100, novej základnej verzie NVMe SSD spoločnosti, všetky podrobnosti.
▷ Všetky možnosti a triky pre všetky okná 10
Ukážeme vám užitočné triky s voľbami priečinka Windows 10. Prečítajte si viac informácií o interakcii s prieskumníkom súborov
Nvidia rtx pre notebooky: referenčné hodnoty pre ďalší gpus sú vynechané
Ak si chcete kúpiť nový laptop, počkajte. Nové štandardy nadchádzajúcich RTX pre notebooky boli zverejnené.
