英偉達漏洞致 AI 與機器人平臺面臨遠程代碼執(zhí)行和數(shù)據(jù)泄露風(fēng)險
英偉達已針對其Jetson Linux和IGX平臺發(fā)布安全更新,修復(fù)了兩個可能導(dǎo)致系統(tǒng)遭受代碼執(zhí)行、數(shù)據(jù)篡改、服務(wù)拒絕和信息泄露的漏洞。這兩個編號為CVE-2025-23270和CVE-2025-23269的漏洞影響廣泛用于人工智能、機器人和嵌入式邊緣計算的Jetson Orin及Xavier系列產(chǎn)品。
高危UEFI管理漏洞
其中更嚴(yán)重的CVE-2025-23270漏洞CVSS基礎(chǔ)評分為7.1分,影響Jetson Linux的UEFI(統(tǒng)一可擴展固件接口)管理模式。該漏洞允許本地低權(quán)限攻擊者利用側(cè)信道缺陷,可能導(dǎo)致:
- 任意代碼執(zhí)行
- 關(guān)鍵數(shù)據(jù)篡改
- 系統(tǒng)服務(wù)拒絕
- 敏感信息泄露
英偉達警告稱:"成功利用此漏洞可能導(dǎo)致代碼執(zhí)行、數(shù)據(jù)篡改、服務(wù)拒絕和信息泄露"。該漏洞源于UEFI隔離環(huán)境中對敏感操作的不安全處理,推測執(zhí)行和共享硬件狀態(tài)可能無意間跨越權(quán)限邊界泄露信息。
內(nèi)核級信息泄露風(fēng)險
第二個漏洞CVE-2025-23269是CVSS評分4.7的內(nèi)核漏洞,允許具備本地低權(quán)限的攻擊者通過共享微架構(gòu)預(yù)測器利用瞬態(tài)執(zhí)行行為。英偉達表示:"成功利用此漏洞可能導(dǎo)致信息泄露"。雖然比CVE-2025-23270更難利用,但這個內(nèi)核級問題可能成為旨在提升權(quán)限或從內(nèi)存提取敏感信息的鏈?zhǔn)焦舻奶濉?/p>
受影響產(chǎn)品及修復(fù)方案
這些漏洞影響多款英偉達嵌入式系統(tǒng),特別是使用Jetson Linux和IGX OS的設(shè)備。已發(fā)布以下補丁:
產(chǎn)品系列 | 受影響版本 | 已修復(fù)版本 |
Jetson Orin系列 | JP5.x < 35.6.2, JP6.x < 36.4.4 | 35.6.2 / 36.4.4 |
Jetson Xavier系列 | JP5.x < 35.6.2 | 35.6.2 |
IGX Orin | IGX OS < 1.1.2 | IGX 1.1.2 |
使用Jetson平臺開發(fā)機器人、自動駕駛汽車、邊緣AI或工業(yè)自動化系統(tǒng)的管理員和開發(fā)人員應(yīng)立即更新系統(tǒng)。
