Nvidia lappet utnyttelsen selvblås for alle gpus tegra
Innholdsfortegnelse:
Nvidia slapp en sikkerhetsoppdatering for Jetson TX1 med Tegra Linux (L4T) driverpakke 18. juli. Den tilhørende sikkerhetsbulletinen ga veldig liten detalj om hva Nvidia fikset, men på GitHub avslørte en forsker ved navn Triszka Balázs at selskapet lappet en feil som tillot ondsinnet kode å kjøres på “hver eneste Tegra-enhet som er utgitt så langt. ”Gjennom det han kalte Selfblow exploit.
Selvblås utnytte berørte Tegra GPUer, men ikke Nintendo Switch
Feilen skyldtes et problem med Tegra bootloader. Balázs forklarte at "nvtboot (NVC) laster nvtboot-cpu (TBC) uten først å validere belastningsadressen, noe som fører til vilkårlig skriving til minne" , noe som betyr at Selfblow- utnyttelsen "fullstendig beseirer sikker oppstart selv med den siste firmware. " Dette vil ikke påvirke Nintendo Switch, som også har en Tegra GPU, på grunn av den sikre oppstartsdelen er den annerledes.
Besøk vår guide for de beste grafikkortene på markedet
Balázs sa at han avslørte Nvidia-sårbarheten 9. mars med planer om å avsløre den offentlig 15. juni. Det er mer tid enn de fleste forskere gir selskaper å svare på sikkerhetsfeil (bransjestandarden er 90 dager), men det var fremdeles ikke nok for Nvidia å snakke om emnet. Balázs sa Nvidia sa at den ville fikse feilen i mai, men tildelte ikke engang en CVE-identifikator til den før i juli.
Så "Jeg bestemte meg for å offentliggjøre dette i offentlighet for å oppmuntre dem til å ordne det slik at vi kan ha bedre og sikrere enheter." Nvidia svarte med å legge ut sikkerhetsoppdateringen 18. juli, men Balázs var fremdeles ulykkelig, og oppdaterte GitHub-"readme" for å si at Nvidia ikke inkluderte en henvisning til Selfblow i sikkerhetsbulletinen og gjorde en feil i å måle alvorlighetsgraden av feilen på CWE-skalaen.
Nvidia "korrigerte sammendraget for å beskrive potensielle konsekvenser mer nøyaktig" 19. juli. Han takket også Balázs for å oppdage og avsløre sårbarheten. Mer informasjon om sikkerhetsoppdateringen finner du gjennom Nvidia DevZone, hvor den også kan lastes ned. Det er ingen andre oppdateringer for Selfblow-utnyttelsen; Den eneste måten å forsvare en enhet som bruker Tegra-brikkesettet, er å installere denne oppdateringen.
Tomshardware fontElektronisk kunst gir bort alle dlcs fra slagmarken 4 på alle plattformer
Electronic Arts gir bort alle Battlefield 4 DLC-er på alle plattformer spillet er tilgjengelig på, denne gangen på en gang.
Alle detaljene om toshiba rc100, ssd nvme for alle budsjetter
Vi kjenner allerede alle de tekniske funksjonene til Toshiba RC100, selskapets nye entry-level NVMe SSD, alle detaljene.
Amd fortsetter å kjempe for å dempe spekteret og varianter av denne utnyttelsen
AMD kunngjorde i dag, gjennom en sikkerhetsblogg skrevet av sin egen Mark Papermaster, at de begynner å rulle ut lapper og ressurser for AMD-prosessorer som er berørt av Specter-utnyttelser.
