NVIDIA已发布了一项安全更新,以修复一个影响其 Jetson AGX Orin 系列和 IGX Orin 设备的严重漏洞。该漏洞编号为 CVE-2024-0148,攻击者若能接触到设备实体,就有可能利用该漏洞执行恶意代码。
这份安全公告着重指出了统一可扩展固件接口(UEFI)固件的恢复模式(RCM)启动模式中存在的漏洞,这一漏洞可能会让能够接触到设备实体的无特权攻击者加载不可信代码。如果该漏洞被利用,可能会导致代码执行、权限提升、数据篡改、拒绝服务以及信息泄露等后果。
NVIDIA在其安全公告中称:“NVIDIA Jetson Linux 系统和 IGX 操作系统镜像在 UEFI 固件的 RCM 启动模式中存在一个漏洞,无特权的攻击者若能接触到设备实体,便可以加载不可信代码。”
该漏洞的通用漏洞评分系统(CVSS)基础评分为 7.6,被归类为严重威胁。
NVIDIA已针对受影响的平台发布了补丁:
| CVE 编号 | 受影响产品 | 平台 / 操作系统 | 受影响版本 | 更新版本 |
| CVE-2024-0148 | NVIDIA IGX Orin | IGX 操作系统 | IGX 1.1 之前的所有版本 | IGX 1.1 |
| CVE-2024-0148 | Jetson AGX Orin 系列 | Jetson Linux 系统 | 36.4.3 之前的所有版本 | 36.4.3 |
NVIDIA建议所有用户立即升级软件,以降低漏洞被利用的风险。
用户可从以下来源下载所需的补丁:
1.Jetson AGX Orin 系列:NVIDIA开发者专区
2.IGX Orin:IGX 下载中心