英伟达Jetson芯片组易受严重缺陷影响

美国图形芯片专家NVIDIA发布了软件更新，以解决影响其Jetson system on module（SOM）系列的总共26个漏洞，这些漏洞可能被对手滥用，从而升级权限，甚至导致拒绝服务和信息泄露。

从CVE和#8209追踪；2021‑34372至CVE和#8209；2021‑这些缺陷影响到Jetson TX1、TX2系列、TX2 NX、AGX Xavier系列、Xavier NX以及运行32.5.1之前所有Jetson Linux版本的Nano和Nano 2GB产品。该公司称赞苹果媒体产品公司的弗里德里克·佩里奥特报道了所有问题。

英伟达JETSON线由嵌入式Linux AI和计算机视觉计算模块和开发工具包组成，主要用于基于人工智能的计算机视觉应用和自主系统，如移动机器人和无人机。

其中最主要的漏洞是CVE‑；2021‑34372（CVSS分数：8.2），其可信可信执行环境（TEE）中的一个缓冲区溢出漏洞，可能导致信息泄露、权限升级和拒绝服务。

其他八个关键弱点包括内存损坏、堆栈溢出、TEE中缺少边界检查，以及影响引导加载程序的堆溢出，这些都可能导致任意代码执行、拒绝服务和信息泄露。该公司指出，其余的缺陷也与Trusty和Bootloader有关，可能被利用影响代码执行，导致拒绝服务和信息泄露。

“支持该产品的早期软件分支版本也会受到影响，”NVIDIA说。“如果您使用的是早期的branch版本，请升级到最新的32.5.1版本。如果您使用的是32.5.1版本，请更新到最新的Debian软件包。”