Nvidia незаметно пропатчила эксплойт, затрагивавший устройства на базе Tegra

Уязвимость позволяла хакеру выполнять произвольный код на почти любом устройстве.

18 июля Nvidia выпустила обновление безопасности, предназначенное для платформ на базе Tegra. Хотя в списке изменений этого нет, журналисты Tom's Hardware пишут, что патч исправляет уязвимость Selfblow, обнаруженную в начале года.

Эта уязвимость, найденная исследователем безопасности Тришкой Балашем, позволяла хакеру выполнять произвольный код на практически любом устройства, использующем Tegra. С помощью уязвимости можно было обойти систему безопасности загрузчика.

Некоторые устройства — например, Nintendo Switch — не попали под действие уязвимости из-за использования собственной версии загрузчика. Как отмечают в Nvidia, единственный способ защититься от эксплоита, за исключением использования кастомного загрузчика, это установить свежее обновление.

Хотя о существовании уязвимости Nvidia сообщили еще 9 марта, компания не смогла оперативно ее устранить. По словам Балаша, контактировавшего с Nvidia, компания планировала исправить уязвимость еще в мае, но в итоге затянула с патчем до июля.

Как отмечает исследователь безопасности, компания неверно указала степень опасности уязвимости, занизив ее в базе CWE; в конце концов представители Nvidia все-таки загрузили в базу верное описание уязвимости.