Компании Intel и Nvidia устранили серьезные недостатки в двух продуктах, ориентированных на геймеров. Уязвимости обнаружили в игровой приставке Nvidia Shield TV и компактном компьютере Intel NUC (Next Unit of Computing). Оба вендора выпустили рекомендации по безопасности и обновления для затронутых систем.

Ошибки в загрузчике Nvidia Shield TV

Одна из проблем обнаружена в компоненте Nvidia Tegra SoC, которая загружает операционную систему Nvidia Shield TV. Баг связан с неправильной проверкой границ размещения данных в буфере памяти и его переполнением. Это дает злоумышленнику возможность повысить привилегии и выполнить сторонний код. Уязвимость идентифицирована как CVE‑2019‑5699 и оценивается специалистами в 7,6 балла CVSS.

Вторая ошибка, зарегистрированная как CVE‑2019‑5700, получила такой же рейтинг опасности. Недостаток кроется в способе взаимодействия загрузчика с образом диска, содержащим файлы, необходимые для работы устройства. Как пояснили разработчики, уязвимый компонент некорректно проверяет поле заголовка с номером версии, что может привести к отказу в обслуживании, эскалации привилегий и утечке данных.

Вендор не указал, какими правами должен обладать злоумышленник для успешной атаки, а также не пояснил, возможна ли удаленная эксплуатация уязвимостей. Оба бага исправлены в прошивке Nvidia Shield TV 8.0.1. Пользователям более ранних версий продукта рекомендуют срочно обновиться до актуального релиза.

Недостатки в прошивке компьютеров Intel NUC

Обе уязвимости, найденные в программном обеспечении Intel NUC, оценили в 7,5 балла CVSS. Баги требуют локального доступа к устройству и затрагивают игровые компьютеры семейства NUC 8, а также ряд других продуктов.

Недостаток CVE-2019-14569 связан с неправильной работой указателей адреса переменных, а уязвимость CVE-2019-14570 вызвана проблемой повреждения памяти. Оба бага могут привести к несанкционированному повышению прав атакующего, отказу в обслуживании или утечке информации.

В июле этого года Nvidia залатала опасный недостаток в комплекте разработчика Jetson TX1. Баг, который мог вызвать отказ в обслуживании, эскалацию привилегий или привести к выполнению вредоносного кода, затрагивал миллионы IoT-устройств, работающих на процессоре Tegra.

Категории: Кибероборона