晶片製造商週二補丁:英特爾、AMD、Nvidia 修復多個漏洞
英特爾、超微與輝達發布大規模安全更新報告
在最近一次的「修補星期二」(Patch Tuesday)中,三大晶片巨頭英特爾(Intel)、超微(AMD)和輝達(Nvidia)發布了各自的重大安全公告,旨在解決其產品中發現的數十個嚴重漏洞。這些漏洞涵蓋了從處理器、晶片組到軟體框架的廣泛範圍,凸顯了硬體和軟體供應鏈中持續存在的安全挑戰。此次更新的規模和範圍再次提醒業界,持續的漏洞管理和及時修補對於維護資訊安全至關重要。
英特爾的三十四項新公告
英特爾此次發布了高達三十四項新的安全公告,修復了多個高嚴重性漏洞。其中,一些關鍵問題包括:
- Xeon 處理器漏洞: 一個在高嚴重性漏洞被發現於 Xeon 處理器中,若被惡意利用,可能導致權限提升。這意味著攻擊者可以從較低的權限級別獲得管理員級別的控制權,從而對系統造成更大危害。
- 乙太網路驅動程式問題: 在其乙太網路驅動程式中發現的漏洞可能導致「拒絕服務」(Denial of Service, DoS)攻擊。攻擊者可以通過此漏洞使系統過載,導致正常服務中斷。
晶片組韌體漏洞: 晶片組韌體中的一個漏洞可能造成資訊洩露。此類漏洞允許攻擊者未經授權地訪問系統記憶體中的敏感資訊,例如加密金鑰或用戶憑證。
除了高嚴重性問題外,英特爾還修復了多個中等嚴重性漏洞,涉及其多款產品,包括 AI Playground 和 Driver & Support Assistant。這些更新確保了英特爾產品在多個層面上的安全性,涵蓋了伺服器、消費者PC和開發者工具。
超微處理十項新公告及學術研究漏洞
超微此次發布了十項新的安全公告,其中部分是為了回應來自蘇黎世聯邦理工學院(ETH Zurich)研究人員提交的學術論文。這些研究揭示了可以針對超微處理器執行的潛在攻擊,其中包括:
- 堆疊引擎優化漏洞: 研究人員發現,可以濫用一個堆疊引擎優化機制,從而實現資訊洩露。這種側通道攻擊可能允許攻擊者間接推斷出記憶體中的敏感資料。
- 「Heracles」側通道攻擊: 這是一種新的側通道攻擊方法,同樣針對超微處理器。側通道攻擊通常利用系統的物理實現特性(如時間、功耗等)來獲取資訊,而不是直接攻擊軟體漏洞。
安全啟動(Secure Boot)繞過: 超微還修補了一個涉及物理攻擊的漏洞,該漏洞可能導致繞過其安全啟動機制。安全啟動是確保系統啟動時只運行受信任韌體和軟體的關鍵安全功能,其被繞過將對系統完整性構成嚴重威脅。
此外,超微也修復了在其內部和外部審核中發現的漏洞,涉及其客戶端、伺服器、嵌入式處理器和繪圖產品。
輝達的六項公告專注於人工智慧與機器人
輝達此次的六項公告主要針對其在人工智慧(AI)和機器人領域的軟體產品。這些漏洞的嚴重性極高,可能對使用這些技術的企業和開發者造成巨大影響:
- NeMo 和 Megatron-LM 框架漏洞: 輝達修復了在其 NeMo 和 Megatron-LM AI 框架中發現的高嚴重性漏洞。這些漏洞可能允許攻擊者執行遠端程式碼執行(Remote Code Execution, RCE)和數據竄改。RCE 是一種極其危險的漏洞,因為它允許攻擊者在遠端系統上運行任意程式碼,從而完全控制該系統
- Merlin、Isaac GR00T 等軟體漏洞: 類似的漏洞也被修補在 Merlin 函式庫、用於機器人開發的 Isaac GR00T 平台以及 Apex 和 WebDataset 等深度學習軟體中,這些漏洞同樣可能導致遠端程式碼執行和數據洩露。
總結與影響
此次英特爾、超微和輝達同步發布的大規模安全更新,凸顯了現代晶片和軟體生態系統的複雜性與脆弱性。這些漏洞不僅限於單一產品線,而是廣泛分布於處理器、驅動程式、韌體和AI框架等各個層面。對於用戶和企業來說,及時應用這些修補程式是保護其系統免受潛在攻擊的唯一途徑。此次修補行動也再次強調了晶片製造商在確保其產品安全性方面的責任,並鼓勵產業持續投入於安全研究和漏洞管理。未來,隨著技術的進步,晶片製造商與安全研究社群之間的合作將變得更加重要,以應對不斷演變的網路威脅。
資料來源:https://www.securityweek.com/chipmaker-patch-tuesday-many-vulnerabilities-addressed-by-intel-amd-nvidia/
在最新的修補星期二中,英特爾、超微(AMD)和輝達(Nvidia)發布了多個安全公告,以解決其產品中發現的重大漏洞。