Ba ông lớn bán dẫn thay nhau vá hàng loạt lỗ hổng nghiêm trọng

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
125
1.599 bài viết
Ba ông lớn bán dẫn thay nhau vá hàng loạt lỗ hổng nghiêm trọng
WhiteHat Team
Ba ông lớn bán dẫn gồm Intel, AMD và Nvidia đồng loạt phát hành bản vá cho hơn 80 lỗ hổng trong nhiều sản phẩm từ CPU máy chủ, driver, công cụ phát triển đến nền tảng AI. Đáng chú ý là nhiều lỗ hổng nghiêm trọng có thể bị khai thác để leo thang đặc quyền, từ chối dịch vụ (DoS), rò rỉ thông tin, thậm chí thực thi mã. Đây là rủi ro cho hệ thống máy chủ, trung tâm dữ liệu và môi trường AI - những nền tảng đang được doanh nghiệp Việt Nam sử dụng ngày càng nhiều.
1770871059116.png

Intel công bố 30 bản khuyến cáo, xử lý hơn 60 lỗ hổng. Các thành phần bị ảnh hưởng gồm CPU Xeon, Slim Bootloader (dùng cho Xeon và Core), đồ họa, QuickAssist (QAT), PROSet, CIP, công cụ nhận diện CPU… Lỗ hổng có thể bị lợi dụng để DoS hoặc leo thang đặc quyền. Ngoài ra, Intel cũng vá nhiều lỗi trung bình/thấp trong công cụ quản trị máy chủ, driver NPU, ảo hóa hiển thị, VTune, Rapid Storage… Môi trường doanh nghiệp dùng Xeon, QAT, hạ tầng ảo hóa cần ưu tiên cập nhật.

AMD phát hành 6 khuyến cáo cho 14 lỗ hổng. Nghiêm trọng nhất là lỗi trên Kria và Zynq SoC có nguy cơ cho phép thành phần không an toàn truy cập vùng nhớ bảo mật, thao tác chức năng mã hóa và điều khiển subsystem. Lỗi mức cao cũng được vá trong driver Xilinx Runtime (XRT) có thể dẫn tới rò rỉ thông tin, DoS và thực thi mã. Đáng chú ý, lỗ hổng leo thang đặc quyền trong AMD StoreMi không có bản vá do sản phẩm đã ngừng hỗ trợ, tổ chức nào còn sử dụng cần cân nhắc loại bỏ hoặc thay thế. AMD cũng vá lỗi DoS trong μProf và thông báo kế hoạch khắc phục các vấn đề khác trên EPYC, Versal/Alveo.

Nvidia công bố 4 khuyến cáo cho 6 lỗ hổng ảnh hưởng tới hệ sinh thái AI: NeMo, Megatron-LM, AIStore và Triton Inference Server. Nhiều lỗi mức cao có thể bị khai thác để thực thi mã, leo thang đặc quyền, sửa đổi dữ liệu hoặc rò rỉ thông tin, đe dọa các hệ thống huấn luyện và triển khai AI.

Các tổ chức, doanh nghiệp tại Việt Nam cũng không đứng ngoài cuộc và không nên chủ quan:​
  • Rà soát hệ thống đang dùng Intel Xeon/QAT, nền tảng AMD (EPYC, Kria, Zynq) và stack AI của Nvidia​
  • Ưu tiên vá các lỗ hổng mức cao/ảnh hưởng máy chủ và AI​
  • Với sản phẩm đã ngừng hỗ trợ (StoreMi) thì hãy cân nhắc ngừng sử dụng​
  • Tăng cường giám sát bất thường sau cập nhật để phát hiện sớm khai thác.​

Theo Security Week
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • SAP phát hành bản vá khẩn cấp cho lỗ hổng nghiêm trọng trong CRM, S/4HANA và NetWeaver
  • Cảnh báo lừa đảo Apple Pay: Chỉ email và cuộc gọi, tài khoản có thể bị chiếm sạch
  • CISA cảnh báo lỗ hổng SSRF trên GitLab đang bị khai thác, đe dọa an ninh CI/CD
  • Lỗ hổng OpenClaw có thể cho phép chiếm quyền máy chỉ bằng một cú nhấp
  • Khi AI lập mạng xã hội riêng, con người bị ra rìa: Bước thử nghiệm táo bạo hay cơn sốt thổi phồng?
  • Cảnh báo: Tiện ích cho trợ lý AI bị lợi dụng để phát tán mã độc, hãy bỏ thói quen "thấy tiện là cài"
    • Thẻ
    bản vá bảo mật cpu máy chủ cập nhật bản vá an ninh mạng doanh nghiệp lỗ hổng bảo mật intel amd nvidia lỗ hổng nền tảng ai nvidia vá lỗi bảo mật trung tâm dữ liệu
    Bên trên