在披露一系列新的漏洞后,NVIDIA 和 Arm 已敦促客户升级其产品。
Arm 宣布其 Mali GPU 内核驱动程序中存在一个被积极利用的零日漏洞,该漏洞允许“不当的 GPU 内存处理操作”。
该漏洞编号为 CVE-2024-4610,影响 Bifrost 和 Valhall 驱动程序的所有版本,从 r34p0 到 r40p0。
该公告指出: “本地非特权用户可以进行不当的 GPU 内存处理操作,以访问已释放的内存。” “Arm 已获悉有关此漏洞被广泛利用的报告。如果用户受到此问题的影响,建议他们进行升级。”
同时,NVIDIA 6 月份的新安全公告披露了其 GPU 显示驱动程序和 VGPU 软件产品中 10 个新的高危和中危漏洞。
安全专家指出,CVE‑2024‑0090 可能是最严重的漏洞。NVIDIA表示,越界写入漏洞可能导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。
Bugcrowd 创始人 Casey Ellis 认为:“CVE‑2024‑0090 令人担忧,因为它对攻击者来说用途广泛,它会影响 Windows 和 Linux,而且 Nvidia GPU 在整个攻击面中无处不在。”“在不久的将来,我不会惊讶地看到它被纳入攻击工具中。”
Bambenek Consulting 总裁 John Bambenek 也敦促谨慎。
他辩称:“从 CVSS 评分来看,NVIDIA 似乎不认为这些漏洞可以远程执行。”
“这里需要担心的是,有时设备驱动程序可能会在修补过程中被忽视,尤其是当它不是操作系统修补过程的一部分时。因此,可能需要特别努力才能找到这些易受攻击的系统并对其进行修补,这可能需要重新启动。”
发表评论
您还未登录,请先登录。
登录