インテル、AMD、Nvidiaは、最近自社製品で発見された脆弱性について説明するセキュリティアドバイザリを公開しました。
インテルは通常四半期ごとにアドバイザリを公開していますが、今回は60件以上の脆弱性について顧客に通知するために30件の新しいアドバイザリをリリースしました。
このチップ大手は、Xeonプロセッサ、XeonおよびCoreプロセッサ向けSlim Bootloader、PROSet、Computing Improvement Program(CIP)、Processor Identification Utility、グラフィックス、QuickAssist Technology(QAT)において高深刻度の脆弱性を修正しました。
これらのセキュリティホールは、サービス拒否(DoS)攻撃や権限昇格に悪用される可能性があります。
インテルは、Server Configuration Utility、Display Virtualization、NPUドライバー、SigTest、CIP、One Boot Flash Update、Processor Identification Utility、Instrumentation and Tracing Technology API、VTune Profiler、グラフィックス、System Support Utility、Driver & Support Assistant、Rapid Storage Technology製品において、中程度および低深刻度の問題も修正しました。
また、中程度および低深刻度の脆弱性は、FPGA Support Package for oneAPI、Neural Compressor、oneAPI Math Kernel Library、QAT、Gaudi、Thread Director Visualizer、800シリーズEthernet向けESXiドライバー、Killer、System Event Log、Distribution for Pythonソフトウェアインストーラー、MPI Library、Assistive Context-Aware Toolkit、PresentMon、Thermal Innovation Platform Framework Extension Provider製品でも解決されています。
これらの脆弱性は、権限昇格、DoS、情報漏洩につながる可能性があります。
AMDは、合計14件の脆弱性を説明する6件の新しいアドバイザリを公開しました。KriaおよびZynqデバイスに影響する高深刻度の問題は、「非セキュアプロセッサがセキュアメモリへのアクセス、暗号操作へのアクセス、SoC内のサブシステムのオン・オフを可能にする可能性があります」。
情報漏洩、サービス拒否、場合によってはコード実行につながる高深刻度の脆弱性が、Xilinx Run Time(XRT)ドライバーで対処されました。
任意のコード実行を引き起こす可能性のある高深刻度の権限昇格問題がAMD StoreMiで発見されましたが、この製品は販売終了のため、ベンダーはパッチや緩和策を提供していません。
サービス拒否につながる2件の脆弱性が、AMD μProfツールで修正されました。
さらに、AMDは一部のEpyc CPUに影響する中程度の深刻度のデータ整合性侵害問題を修正し、VersalおよびAlveo製品のセキュアフラグ使用に関連する低深刻度の問題についても修正予定を顧客に通知しました。
Nvidiaは、AI製品に影響する合計6件の脆弱性をカバーする4件の新しいアドバイザリを公開しました。コード実行、権限昇格、情報漏洩、データ改ざんに悪用される可能性のある2件の高深刻度の脆弱性がNeMo AIフレームワークで対処されました。
同様の影響を及ぼす可能性のある高深刻度の問題がMegatron LM LLMトレーニングフレームワークで対処されました。
権限昇格、データ改ざん、情報漏洩につながる高深刻度の脆弱性がAIStore AIアプリケーションストレージシステムで修正されました。同じ製品で中程度の深刻度の情報漏洩問題も修正されました。
さらに、Triton Inference Server for LinuxおよびWindowsで中程度の深刻度のDoS脆弱性が修正されました。
翻訳元: https://www.securityweek.com/chipmaker-patch-tuesday-over-60-vulnerabilities-patched-by-intel/
