NVIDIA 和 Arm 敦促客户修补漏洞

在披露一系列新的漏洞后，NVIDIA 和 Arm 已敦促客户升级其产品。

Arm 宣布其 Mali GPU 内核驱动程序中存在一个被积极利用的零日漏洞，该漏洞允许“不当的 GPU 内存处理操作”。

该漏洞编号为 CVE-2024-4610，影响 Bifrost 和 Valhall 驱动程序的所有版本，从 r34p0 到 r40p0。

该公告指出： “本地非特权用户可以进行不当的 GPU 内存处理操作，以访问已释放的内存。” “Arm 已获悉有关此漏洞被广泛利用的报告。如果用户受到此问题的影响，建议他们进行升级。”

同时，NVIDIA 6 月份的新安全公告披露了其 GPU 显示驱动程序和 VGPU 软件产品中 10 个新的高危和中危漏洞。

安全专家指出，CVE‑2024‑0090 可能是最严重的漏洞。NVIDIA表示，越界写入漏洞可能导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。

Bugcrowd 创始人 Casey Ellis 认为：“CVE‑2024‑0090 令人担忧，因为它对攻击者来说用途广泛，它会影响 Windows 和 Linux，而且 Nvidia GPU 在整个攻击面中无处不在。”“在不久的将来，我不会惊讶地看到它被纳入攻击工具中。”

Bambenek Consulting 总裁 John Bambenek 也敦促谨慎。

他辩称：“从 CVSS 评分来看，NVIDIA 似乎不认为这些漏洞可以远程执行。”

“这里需要担心的是，有时设备驱动程序可能会在修补过程中被忽视，尤其是当它不是操作系统修补过程的一部分时。因此，可能需要特别努力才能找到这些易受攻击的系统并对其进行修补，这可能需要重新启动。”