Ir a la barra de herramientas
Hardware

NVIDIA: Publica drivers para las Tegra que corrigen la vulnerabilidad Selfblow, tarde y de aquellas maneras

Corregida la vulnerabilidad Selfblow que afecta a las NVIDIA Tegra, aunque tarde y con bastantes deficiencias por parte de la compañía.

Las vulnerabilidades estan a la orden del día. Sobre todo son conocidas las vulnerabilidades Spectre y Meltdown que afectan mayoritariamente a Intel. Pese a todo los problemas son comunes, tanto en el hardware como en el software. NVIDIA ha sido la última afectada por un problema de seguridad. La compañía ha publicado los controladores Tegra Linux (L4T) que corrigen un problema de seguridad en los Jetson TX1.

El informe de NVIDIA del 18 de julio no da muchos datos al respecto del origen o la afectación de este problema. Trizka Balázs, un investigador de seguridad, ha revelado en GitHub más datos del problema. Infama Balázs que el fallo permite la ejecución de código malicioso en “los dispositivos Tegra liberados hasta ahora”. Dicho exploit se denomina Selfblow.

NVIDIA corrige el exploit Selfblow que afecta a las GPU Tegra

Dicho problema tendría que ver con el arranque de Tegra. Balázs expone: “nvtboot (NVC) carga nvtboot-cpu (TBC) sin validar primero la dirección de carga, lo que lleva a una escritura arbitraria en memoria”. Esto quiere decir que Selfblow “vence completamente al arranque seguro incluso con el último firmware”. Dicho problema no afectaría a las Nintendo Switch, debido a que la sección de arranque es diferente.

Balázs dice que la vulnerabilidad se detectó el 9 de marzo por parte de NVIDIA y que estaba previsto revelarla públicamente el 15 de junio. Normalmente los investigadores ofrecen 90 días antes de revelar la vulnerabilidad. Esto se hace para dar a la compañía tiempo para corregir el problema. La compañía ha tardado bástate más en afrontar el problema.

Según el investigador, NVIDIA dijo que corregiría el problema en mayo. Pese a esto la compañía parece que paso olímpicamente del tema. Cabe destacar que hasta julio no asigno un identificador CVE. Estos identificadores reconocen y explican cuál es el problema y como se corrige o medidas para corregirlo.

Para incentivar que NVIDIA moviera el culo, Balázs dice: “decidí revelar esto al público de buena fe para animarlos a que lo arreglen para que podamos tener unos dispositivos mejores y más seguros”. Pero Balázs no está conforme con el trabajo de NVIDIA. Por eso ha actualizado su GitHub, concretamente el ‘readme’ para destacar que NVIDIA no hace referencia a Selfblow en el boletín de seguridad y ha cometido un error en cuando a la medición de gravedad del fallo CVE.

NVIDIA el 19 de julio modifico la descripción del fallo para ofrecer más precisión. Se agradece a Balázs en el boletín descubrir y revelar la vulnerabilidad.

Fuente: TPU

Roberto Solé

Técnico en sistemas de generación de energía sustentables e instalador de sistema de distribución de energía en vivienda. Trabajo delante de un PC, en mi tiempo libre estoy delante de un PC y cuando salgo de casa estoy pegado a la pantalla de mí smartphone. Cada mañana cuando me levanto cruzo el Stargate para hacerme un café y empezar a ver vídeos de YouTube mientras hago ver que escribo aquí. Una vez vi un dragón... ¿o era un Dragonite?

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Botón volver arriba