Over 80 sårbarheder lukket hos Intel, AMD og Nvidia

Den seneste Patch Tuesday har bragt en omfattende række sikkerhedsopdateringer fra tre af de største chipproducenter – Intel, AMD og Nvidia – med over 80 sårbarheder lukket på tværs af deres produkter. 

Det skriver Security Week.

Intel: Mikrokode, softwareopdateringer og værktøjsrettelser

Intel har lukket over 60 sårbarheder fordelt på 30 nye sikkerhedsvejledninger. Rettelserne dækker et bredt spektrum af produkter og komponenter, som ofte indgår i forsknings- og universitetsinfrastruktur. Blandt de mest kritiske rettelser er:

• Xeon-processorer og Slim Bootloader: Lukker huller, der kan udnyttes til denial-of-service og privilegieeskalering.
• Intel Graphics og QuickAssist Technology (QAT): Flere højrisiko-sårbarheder er blevet rettet.
• CIP, PROSet, VTune Profiler og Rapid Storage Technology: Medium- og lavrisiko-sårbarheder, der kan føre til informationslækage og systemnedbrud.
• Instrumentation and Tracing API, MPI Library og Python-distributionsinstallatører: Rettelser i værktøjer og drivere, som ofte anvendes i forskningsmiljøer.

Rettelserne er implementeret via en kombination af mikrokodeopdateringer og softwarepatches. Mikrokoden til Xeon og Slim Bootloader leveres typisk gennem BIOS- eller UEFI-opdateringer fra systemproducenterne. Softwarekomponenter som VTune Profiler, QAT og Driver & Support Assistant kræver, at brugere selv henter og installerer opdaterede versioner via Intels supportportal – eller automatiserer processen med Intel Driver & Support Assistant. Der sker ingen automatisk patching, så det kræver aktiv handling fra administratorer og systemejere.

AMD: Kritiske sårbarheder i Kria, Zynq og StoreMi

AMD har med seks nye sikkerhedsvejledninger adresseret 14 sårbarheder, hvoraf flere har direkte betydning for systemer og værktøjer, der anvendes i forsknings- og universitetssektoren. Blandt de mest alvorlige rettelser er:

• Kria og Zynq SoC-enheder: En sårbarhed, der potentielt tillader ikke-sikre processorer adgang til sikre hukommelser og kryptografiske funktioner.
• Xilinx Run Time (XRT) drivers: Højrisiko-sårbarheder, der kan føre til informationslækage, denial-of-service og mulig kodeeksekvering.
• AMD StoreMi: En alvorlig sårbarhed med mulighed for arbitrær kodeeksekvering – men produktet er udfaset, og der udgives ingen patch.
• AMD μProf og Epyc CPU’er: Rettelser til DoS og dataintegritetsproblemer.
• Versal og Alveo produkter: En lavrisiko-sårbarhed relateret til sikker flag-brug, som AMD planlægger at rette fremadrettet.

Implementeringen af rettelserne sker primært via firmware- og softwareopdateringer, som AMD stiller til rådighed gennem deres officielle supportkanaler. For produkter som XRT og μProf er der frigivet nye versioner, som brugere selv skal hente og installere. Firmwareopdateringer til Epyc CPU’er distribueres typisk via systemproducenter. I tilfælde som StoreMi, hvor produktet er udfaset, anbefales det at afinstallere softwaren for at eliminere risikoen. AMD benytter ikke automatiske opdateringsmekanismer, så det kræver aktiv overvågning og handling fra administratorer.

Nvidia: AI-frameworks og serverkomponenter under lup

Nvidia har offentliggjort fire nye sikkerhedsvejledninger, der tilsammen adresserer seks sårbarheder i virksomhedens AI-relaterede produkter. Flere af disse fejl har direkte betydning for forskningsmiljøer, hvor avanceret modellering og inferens anvendes. Blandt de vigtigste rettelser er:

• NeMo AI framework: To højrisiko-sårbarheder, der kan udnyttes til kodeeksekvering, privilegieeskalering og datamanipulation.
• Megatron LM LLM framework: En lignende sårbarhed med potentiale for alvorlige kompromitteringer.
• AIStore: En højrisiko-fejl og en medium-sårbarhed, der kan føre til informationslækage og datatab.
• Triton Inference Server: En medium-severity DoS-sårbarhed rettet på både Linux og Windows.

Rettelserne er implementeret som versionsopdateringer af de berørte softwarekomponenter og distribueres via Nvidias udviklerportal. Der er ikke tale om automatiske opdateringer, og det kræver derfor, at administratorer aktivt henter og installerer de nyeste versioner. I forskningsmiljøer, hvor NeMo og Megatron anvendes til træning af store sprogmodeller, er det afgørende at få opdateret hurtigt for at undgå potentielle kompromitteringer af både data og systemadgang.

Opdateringerne er særligt relevante for institutioner, der anvender:

• HPC-miljøer med Xeon/Epyc-processorer
• AI-forskning med Nvidia NeMo/Megatron
• Embedded udvikling med AMD Zynq/Kria
• Databehandling og visualisering med Intel VTune og QAT

Det anbefales at gennemgå advisories og opdatere berørte systemer hurtigst muligt – især hvor sårbarheder kan føre til eskalering af privilegier eller informationslækage.