Kedden több tucat biztonsági közleményt adott ki az Intel, az AMD és az Nvidia, melyek a közelmúltban azonosított biztonsági hibákról tájékoztatták az ügyfeleket.

Az Intel a mostani Patch Kedden összesen 34 új biztonsági közleményt adott ki. A vállalat több magas kockázati besorolású sebezhetőségeket is javított, többek között a Xeon processzorokban, Linux Ethernet illesztőprogramokban, chipset firmware-ekben, processzor stream cache-ben, Series 800-as Ethernet termékekben, PROSet/Wireless modulokban, valamint a Connectivity Performance Suite-ban. A legtöbb hiba jogosultságkiterjesztést tesz lehetővé, de egyesek szolgáltatásmegtagadás (DoS) vagy információszivárogtatás céljára is kihasználhatók.

Az Intel közepes kockázatú sérülékenységeket is javított több komponensben, például az AI Playground-ban, a Driver & Support Assistant (DSA) modulban, a Python disztribúcióban, PCIe Switch-ben, AI for Enterprise Retrieval-augmented Generation-ban, Kubernetes Device Plugin-ekben és a TinyCBOR-ban.

További közepes súlyosságú hibák kerültek javításra a RealSense Dynamic Calibrator-ban, Edge Orchestrator for Tiber-ben, Clock Jitter Tool-ban, QuickAssist Technology-ben, UEFI-ben, grafikus meghajtókban, Rapid Storage Technology-ben, oneAPI Toolkit-ben, Trace Analyzer and Collector-ban, E810 Ethernet-eszközökben és a TDX-ben.

Ezeknek a sebezhetőségeknek a kihasználása szintén jogosultságkiterjesztéshez, szolgáltatásmegtagadáshoz vagy információszivárgáshoz vezethet.

Az AMD a Patch Kedd előtti napokban és aznap összesen tíz új biztonsági közleményt adott ki. Néhány közlemény frissen publikált kutatási anyagokra reflektál. Az ETH Zürich kutatói például kimutatták, hogy a „stack engine” néven ismert CPU optimalizációs mechanizmus felhasználható olyan támadások elkövetésére, amelyek információszivárgáshoz vezetnek. Válaszul az AMD a fejlesztőknek javasolja a meglévő bevált gyakorlatok követését a kockázat mérséklésére.

Egy másik, szintén az ETH Zürich kutatóitól származó tanulmány a Heracles nevű módszert írja le, amely lehetővé teszi egy rosszindulatú hiperfelügyelő számára, hogy mellékcsatornás támadást hajtson végre egy futó SEV-SNP guest ellen. Hasonló módszert jelentettek az AMD-nek a Torontói Egyetem kutatói is. A vállalat kockázatcsökkentő lépéseket ajánlott.

Több közlemény belső és külső auditok során azonosított sérülékenységeket ír le kliens processzor platformokban, szerverprocesszorokban, beágyazott processzorokban, valamint grafikus és adatközponti gyorsítókban.

A vállalat két fizikai támadást is dokumentált, köztük egy Secure Boot megkerülést és feszültségmanipulációt SEV-vel védett virtuális gépek ellen. Az AMD kiemelte, hogy a fizikai támadások nem tartoznak a fenyegetési modelljébe.

Az AMD továbbá tájékoztatott egy kódfuttatási hibáról az EDK2 SMM-ben, valamint az Adrenalin illesztőprogram szoftver elavult Chromium böngészőverziójáról.

Az Nvidia ezen a Patch Kedden hat biztonsági közleményt adott ki. A NeMo keretrendszerben – amely egyedi generatív MI-fejlesztésre szolgál – a vállalat két magas kockázatú hibát javított, amelyek távoli kódfuttatáshoz és adatmódosításhoz vezethettek.

A Megatron-LM MI-tréning keretrendszerben két magas súlyosságú sérülékenységet javítottak, amelyek kódfuttatásra, jogosultsági szintemelésre, adatmódosításra és információszivárgásra adtak lehetőséget.

A GPU-gyorsított ajánlórendszerekhez készült Merlin nyílt forráskódú könyvtár Transformers4Rec moduljában egy olyan hibát orvosoltak, amely kódfuttatásra, információszivárgásra, jogosultsági szintemelésre és adatmódosításra ad lehetőséget.

Hasonló hatású sérülékenységeket javított az Nvidia az Isaac GR00T robotfejlesztési platformban, valamint az Apex és WebDataset mélytanulási szoftverekben is — utóbbi kettőnél egy-egy biztonsági hiba került javításra.

(forrás, forrás)