A A A

Nvidia po cichu naprawiła błąd zabezpieczeń Tegry

23 lipca 2019, 07:20
Na początku marca w zabezpieczeniach Tegry wykryto błąd. Dopiero nacisk opinii publicznej spowodował reakcję Nvidii...
Nvidia po cichu naprawiła błąd zabezpieczeń Tegry

18 lipca Nvidia opublikowała aktualizację bezpieczeństwa dla zestawów developerskich Jeston TX1. Firma nie umieściła jednak w dołączonym do aktualizacji biuletynie szczegółowego wyjaśnienia, co dokładnie naprawiono w układach z serii Tegra. Okazuje się, że chodzi tu o lukę Selfblow, którą niedawno ujawnił węgierski hacker Triszka Balázs. Triszka wyjaśnił, że 9 marca 2019 roku firmie została zgłoszona wykryta przez niego usterka, pozwalająca złamać zabezpieczenia sprzętu wykorzystującego podzespoły z serii Tegra.

Nazwa „Selfblow" wzięła się od autodestrukcyjnego charakteru bootloadera (programu rozruchowego). Jego ładowanie odbywało się bez poprawnego adresowania pamięci, co mogło prowadzić do jej dowolnego zapełniania, a w efekcie pozwalało szkodliwemu oprogramowaniu na obejście zabezpieczeń, zwiększenie uprawnień w systemie i działanie w tle bez wiedzy użytkownika. Ze sprzętu działającego pod Tegrą bezpieczna miała być jedynie konsola Nintendo Switch, korzystająca z innego bootloadera.

Początkowo firma miała 90 dni na wyeliminowanie błędu – datę publicznego ogłoszenia ustalono na 15 czerwca. Nvidia dostała nieco więcej czasu, ale długo nie traktowała błędu poważnie.

„Po zgłoszeniu nawet nie przypisano identyfikatora CVE [parametr dzielący wykryte nieprawidłowości na podatności oraz zagrożenia – zależnie od tego czy są pośrednią czy bezpośrednią przyczyną błędu – dop. red.]. Po 4 miesiącach postanowiłem przekazać to w dobrej wierze opinii publicznej, żeby zachęcić Nvidię do załatania dziury" – skomentował Balázs.

Jak twierdzi serwis tomshardware, Nvidia ostatecznie naprawiła usterkę. Balázs wciąż jednak ma wątpliwości dotyczące zbagatelizowania błędu i pominięcia go w opisie aktualizacji, a także niewłaściwej oceny ryzyka. Jego zdaniem zagrożenie było dużo większe, niż może wskazywać postawa firmy.

fot. Nvidia


Krzysztof Kempski
Tagi: NVIDIA, Tegra
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności




Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto