火曜日、Intel、AMD、Nvidiaは、自社製品で最近発見された脆弱性について顧客に通知するため、数十件のセキュリティアドバイザリを公開しました。
Intelは、今回のパッチチューズデーで34件の新しいアドバイザリを公開しました。同社は、Xeonプロセッサ、Linux用イーサネットドライバ、チップセットファームウェア、プロセッサストリームキャッシュ、800シリーズイーサネット、PROSet/Wireless、Connectivity Performance Suite製品において、高深刻度の脆弱性に対応しています。
これらの多くは権限昇格を可能にし、一部はサービス拒否(DoS)や情報漏洩に悪用される可能性があります。
Intelは、AI Playground、Driver & Support Assistant(DSA)、Distribution for Python、PCIe Switch、AI for Enterprise Retrieval-augmented Generation、Device Plugins for Kubernetes、TinyCBORにおいて、中程度の深刻度の問題にも対応しました。
また、中程度の深刻度の脆弱性は、RealSense Dynamic Calibrator、Edge Orchestrator for Tiber、Clock Jitter Tool、QuickAssist Technology、UEFI、Graphics、Rapid Storage Technology、oneAPI Toolkit、Trace Analyzer and Collector、E810 Ethernet、TDXでも解決されています。
これらの製品で発見された脆弱性を悪用すると、権限昇格、DoS、情報漏洩につながる可能性があります。
AMDは、パッチチューズデーの直前および当日に10件の新しいアドバイザリを公開しました。
AMDが公開したアドバイザリの中には、最近発表された研究論文に対応したものもあります。1つの論文はETHチューリッヒの研究者によるもので、スタックエンジンとして知られるCPU最適化が、情報漏洩につながる攻撃に悪用される可能性があることを示しています。これに対し、AMDは開発者に既存のベストプラクティスに従い、潜在的な脆弱性を緩和するよう推奨しました。
広告。スクロールして続きをお読みください。
ETHチューリッヒの研究者による別の論文では、Heraclesと呼ばれる手法が説明されており、悪意のあるハイパーバイザーが実行中のSEV-SNPゲストに対してサイドチャネル攻撃を仕掛けることが可能です。類似の手法がトロント大学の研究者からAMDに報告されています。同社はいくつかの緩和策を推奨しています。
いくつかのアドバイザリでは、クライアントプロセッサプラットフォーム、サーバープロセッサ、組み込みプロセッサ、グラフィックスおよびデータセンターアクセラレータ製品において、内部および外部監査で発見された複数の脆弱性について説明しています。
同社はまた、Secure BootバイパスやSEV保護仮想マシンへの電圧フォールトインジェクションなど、いくつかの物理攻撃にも対応しました。AMDは、物理攻撃は自社の脅威モデルの範囲外であると述べています。
さらにAMDは、EDK2 SMMにおけるコード実行バグや、Adrenalinドライバーソフトウェアにおける古いChromiumブラウザバージョンについても顧客に通知しました。
Nvidiaは、パッチチューズデーに6件のアドバイザリを公開しました。カスタム生成AI開発用のNeMoフレームワークでは、リモートコード実行やデータ改ざんにつながる可能性のある2件の高深刻度の問題が修正されています。
AIトレーニング用のMegatron-LMフレームワークでは、コード実行、権限昇格、データ改ざん、情報漏洩に悪用される可能性のある2件の高深刻度の脆弱性が解決されています。
GPUアクセラレート型レコメンダーシステム用のMerlinオープンソースライブラリ、特にTransformers4Recライブラリでは、コード実行、情報漏洩、権限昇格、データ改ざんにつながるセキュリティホールがNvidiaによって修正されました。
同様の影響を及ぼす可能性のある脆弱性は、NvidiaのIsaac GR00Tロボット開発プラットフォーム、ApexおよびWebDatasetディープラーニングソフトウェアにも存在し、それぞれ1件ずつ修正されています。