Nvidia heeft de exploit selfblow gepatcht voor alle GPU's tegra
Inhoudsopgave:
Nvidia heeft op 18 juli een beveiligingsupdate uitgebracht voor de Jetson TX1 met het Tegra Linux (L4T) driverpakket. Het bijbehorende beveiligingsbulletin bood heel weinig details over wat Nvidia heeft opgelost, maar op GitHub onthulde een onderzoeker met de naam Triszka Balázs dat het bedrijf een bug aan het patchen was waardoor kwaadaardige code kon worden uitgevoerd op 'elk Tegra-apparaat dat tot nu toe is uitgebracht. 'Door wat hij de Selfblow- exploit noemde.
Selfblow-exploit beïnvloedde Tegra GPU's, maar niet Nintendo Switch
De fout is veroorzaakt door een probleem met de Tegra-bootloader. Balázs legde uit dat "nvtboot (NVC) nvtboot-cpu (TBC) laadt zonder eerst het laadadres te valideren, wat leidt tot willekeurig schrijven naar het geheugen" , wat betekent dat de Selfblow- exploit "volledig veilig opstarten verslaat, zelfs met de nieuwste firmware. " Dit heeft geen invloed op de Nintendo Switch, die ook een Tegra GPU heeft, vanwege het beveiligde opstartgedeelte is het anders.
Bezoek onze gids over de beste grafische kaarten op de markt
Balázs zei dat hij de Nvidia-kwetsbaarheid op 9 maart onthulde met plannen om deze op 15 juni openbaar te maken. Dat is meer tijd dan de meeste onderzoekers bedrijven geven om te reageren op beveiligingsfouten (de industriestandaard is 90 dagen), maar het was nog steeds niet genoeg voor Nvidia om het onderwerp aan te snijden. Balázs zei dat Nvidia zei dat het de fout in mei zou verhelpen, maar dat hij er pas in juli een CVE-ID aan toekende.
Dus "Ik besloot dit te goeder trouw aan het publiek bekend te maken om hen aan te moedigen het te repareren, zodat we betere en veiligere apparaten kunnen hebben." Nvidia reageerde door de beveiligingsupdate op 18 juli te plaatsen, maar Balázs was nog steeds niet tevreden, door zijn GitHub "readme" bij te werken om te zeggen dat Nvidia geen verwijzing naar Selfblow in het beveiligingsbulletin had opgenomen en een fout had gemaakt bij het meten van de ernst van de fout op de CWE-schaal.
Nvidia "corrigeerde de samenvatting om de potentiële effecten nauwkeuriger te beschrijven" op 19 juli. Hij bedankte Balázs ook voor het ontdekken en onthullen van de kwetsbaarheid. Meer informatie over de beveiligingsupdate is te vinden via Nvidia DevZone, waar het ook kan worden gedownload. Er is geen andere patch voor de Selfblow-exploit; De enige manier om een apparaat te verdedigen dat de Tegra-chipset gebruikt, is door deze update te installeren.
Tomshardware-lettertypeAlle details van de Toshiba RC100, de SSD NVME voor alle budgetten
We kennen al alle technische kenmerken van de Toshiba RC100, de nieuwe instapmodel NVMe SSD van het bedrijf, alle details.
Microsoft heeft het over prestatieverlies voor patches voor meltdown en specter
Microsoft beweert dat de verzachtende patches voor de Meltdown- en Spectre-kwetsbaarheden vooral merkbaar zullen zijn op Haswell en eerdere systemen.
Een nieuwe exploit lijkt in staat om alle computers vanaf Windows 2000 te infecteren
Metasploit Framework is een nieuwe exploit die sinds Windows 2000 op alle versies van het Microsoft-besturingssysteem kan werken.
