Na desetine bezbjednosnih saopštenja objavili su u utorak Intel, AMD i Nvidia kako bi obavijestili korisnike o ranjivostima pronađenim u njihovim proizvodima.
Intel je objavio 34 nova saopštenja ovog Patch Tuesday-a. Kompanija je otklonila ranjivosti visokog stepena ozbiljnosti u Xeon procesorima, Ethernet drajverima za Linux, firmveru čipseta, procesorskom kešu, 800 Series Ethernet, PROSet/Wireless i Connectivity Performance Suite proizvodima.
Većina njih omogućava eskalaciju privilegija, dok se neke mogu iskoristiti za uskraćivanje usluge (DoS) i otkrivanje informacija.
Intel je takođe riješio ranjivosti srednjeg stepena ozbiljnosti u AI Playground, Driver & Support Assistant (DSA), Distribution for Python, PCIe Switch, AI for Enterprise Retrieval-augmented Generation, Device Plugins for Kubernetes i TinyCBOR.
Problemi srednje ozbiljnosti otklonjeni su i u RealSense Dynamic Calibrator, Edge Orchestrator for Tiber, Clock Jitter Tool, QuickAssist Technology, UEFI, grafici, Rapid Storage Technology, oneAPI Toolkit, Trace Analyzer and Collector, E810 Ethernet i TDX.
Eksploatacija ranjivosti pronađenih u ovim proizvodima može dovesti do eskalacije privilegija, DoS napada i otkrivanja informacija.
AMD je objavio deset novih saopštenja u danima koji su prethodili i na sam Patch Tuesday.
Neka od AMD-ovih saopštenja odnose se na nedavno objavljene naučne radove. Jedan rad istraživača sa ETH Zurich pokazao je da se CPU optimizacija poznata kao stack engine može zloupotrijebiti za napade koji dovode do curenja informacija. Kao odgovor, AMD je savjetovao programere da se pridržavaju postojećih najboljih praksi za ublažavanje potencijalne ranjivosti.
Drugi rad, koji su takođe napisali istraživači sa ETH Zurich, opisuje Heracles, metodu koja omogućava malicioznom hipervizoru da izvrši side-channel napad protiv aktivnog SEV-SNP gosta. Sličnu tehniku prijavili su AMD-u istraživači sa Univerziteta u Torontu. Kompanija je preporučila određene mjere ublažavanja.
Nekoliko saopštenja opisuje višestruke ranjivosti otkrivene tokom internih i eksternih revizija na platformama klijentskih procesora, serverskim procesorima, ugrađenim procesorima, kao i u grafičkim i data centar akceleratorskim proizvodima.
Kompanija je takođe riješila nekoliko fizičkih napada, uključujući zaobilaženje Secure Boot procesa i napad ubrizgavanjem greške u napon na SEV-zaštićenim virtuelnim mašinama. AMD je napomenuo da fizički napadi nisu u okviru njegovog modela prijetnji.
AMD je takođe informisao korisnike o bugu koji omogućava izvršavanje koda u EDK2 SMM, kao i o zastarjeloj verziji Chromium browsera u Adrenalin drajver softveru.
Nvidia je objavila pola tuceta saopštenja na Patch Tuesday. U NeMo okviru, koji je dizajniran za razvoj prilagođenih generativnih AI sistema, kompanija je otklonila dvije ranjivosti visokog stepena ozbiljnosti koje su mogle dovesti do udaljenog izvršavanja koda i manipulacije podacima.
Dva propusta visokog stepena, koja se mogu iskoristiti za izvršavanje koda, eskalaciju privilegija, manipulaciju podacima i otkrivanje informacija, riješena su u Megatron-LM okviru za AI obuku.
U Merlin biblioteci otvorenog koda za GPU-akcelerisan sistem preporuka, posebno u Transformers4Rec biblioteci, Nvidia je zakrpila ranjivost koja može dovesti do izvršavanja koda, otkrivanja informacija, eskalacije privilegija i manipulacije podacima.
Ranjivosti sa sličnim potencijalnim posljedicama otklonjene su i u Nvidia Isaac GR00T razvojnoj platformi za robote, kao i u Apex i WebDataset softveru za duboko učenje — po jedna ranjivost u svakom proizvodu.
Izvor: SecurityWeek
