NVIDIA, la compañía especialista en chips gráficos, lanzó actualizaciones de software para abordar un total de 26 vulnerabilidades que afectan a su serie Jetson System-On-Module (SOM) que podrían ser abusadas por hackers para escalar privilegios e incluso, conducir a la denegación de servicio y divulgación de información.
Las vulnerabilidades, rastreadas desde CVE-2021-34372 hasta CVE-2021-34397, afectan a los productos Jetson TX1, serie TX2, TX2 NX, Serie AGX Xavier, Xavier NX, Nano y Nano 2GB, que ejecutan todas las versiones de Jetson Linux anteriores a la 32.5.1. La compañía dio crédito a Frédéric Perriot de Apple Media Productions por informar las vulnerabilidades.
La línea NVIDIA Jetson consta de módulos de cómputo de visión por computadora y IA de Linux integrados, además de kits de desarrollo que se adaptan principalmente a aplicaciones de visión por ordenador basadas en IA y sistemas autónomos como robots móviles y drones.
La principal de las vulnerabilidades es CVE-2021-34272, con puntuación CVSS de 8.2, siendo una vulnerabilidad de desbordamiento de búfer en su entorno de ejecución confiable (TEE) Trusty, que podrían resultar en la divulgación de información, escalada de privilegios y denegación de servicio.
Otras ocho vulnerabilidades críticas involucran corrupción de memoria, desbordamiento de pila y verificaciones de límites faltantes en el TEE, así como desbordamientos de montón que afectan al cargador de arranque que podrían conducir a la ejecución de código arbitrario, denegación de servicio y divulgación de información. El resto de las vulnerabilidades, también relacionadas con Trusty y Bootloader, podrían explotarse para afectar la ejecución del código, provocando la denegación de servicio y la divulgación de información.
«Las versiones anteriores de la rama de software que admiten este producto también se ven afectadas. Si está utilizando una versión de rama anterior, actualice a la última versión 32.5.1. Si está utilizando la versión 32.5.1, actualice a los últimos paquetes de Debian», dijo NVIDIA.
