NVIDIA Shield TV Sicherheitslücken können zu einer Dienstverweigerung oder einer möglichen Ausweitung von Berechtigungen führen
Gehen Sie zu NVIDIA Product Security.
DETAILS ZUR ANFÄLLIGKEIT
In den folgenden Abschnitten werden die Schwachstellen zusammengefasst. Die Beschreibungen verwenden CWE™ und die Risikobewertungen folgen dem CVSS.
CVE-2017-6248 UND CVE-2017-6249
Der NVIDIA Tegra-Kernel-Audiotreiber enthält eine Schwachstelle im Audio-DSP, bei der ein ungültiger Benutzerparameter ohne Überprüfung der Größe der Eingabe kopiert werden kann, was zu einer Dienstverweigerung oder einer möglichen Eskalation von Privilegien führen kann.
CVSS Base Score: 9.2 CVSS Temporal Score: 8.3 CVSS Vector: CVSS: 3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:H/E:P/RL:O/RC:C
CVE-2017-0326
Der NVIDIA Tegra-Kernel-Treiber enthält eine Schwachstelle in NVMAP, bei der ein Eingabepuffer ohne Überprüfung der Größe des Eingabepuffers in einen Ausgabepuffer kopiert wird, was zu einer Dienstverweigerung führen kann.
CVSS Base Score: 8.5 CVSS Temporal Score: 7.6 CVSS Vector: CVSS: 3.0/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:H/E:P/RL:O/RC:C
CVE-2017-6258
NVIDIA OpenMax Component enthält eine Schwachstelle in LIBNVOMX, bei der ein sicheres Dekodieren einen Puffer lesen oder schreiben kann, der einen Index oder Zeiger verwendet, der auf eine Speicherstelle nach dem Ende des Puffers verweist, was zu einer Dienstverweigerung oder einer möglichen Eskalation von Berechtigungen führen kann.
CVSS Base Score: 7.1 CVSS Temporal Score: 6.4 CVSS Vector: CVSS: 3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N/E:P/RL:O/RC:C
CVE-2017-6247
Der NVIDIA Tegra-Kernel-Audiotreiber enthält eine Schwachstelle im Audio-DSP, bei der ein ungültiger Benutzerparameter ohne Überprüfung der Größe der Eingabe kopiert werden kann, was zu einer Dienstverweigerung oder einer möglichen Eskalation der Privilegien führen kann.
CVSS Base Score: 5.2 CVSS Temporal Score: 4.7 CVSS Vector: CVSS: 3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C
CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785
Android-Schwachstellen, die als "BlueBorne" bezeichnet werden, wurden im Android Security Bulletin vom September 2017 veröffentlicht. Shield TV hat die entsprechenden CVEs behoben. Weitere Informationen zu diesen Problemen finden Sie auf der Android-Website.
Die Risikobewertung von NVIDIA basiert auf einem Durchschnittswert des Risikos auf einer Vielzahl von installierten Systemen und entspricht möglicherweise nicht dem tatsächlichen Risiko Ihrer lokalen Installation. NVIDIA empfiehlt, einen Sicherheits- oder IT-Experten zu Rate zu ziehen, um das Risiko Ihrer spezifischen Konfiguration zu bewerten. NVIDIA sind derzeit keine Exploits für diese Probleme bekannt.
BETROFFENE PRODUKTE
| CVE | Product | OS |
|---|---|---|
| CVE-2017-6247 CVE-2017-6248 CVE-2017-6249 CVE-2017-6258 CVE-2017-0781 CVE-2017-0782 CVE-2017-0783 CVE-2017-0785 CVE-2017-0326 | Shield TV | Android |
FIXES
Korrekturen für Shield sind unter Einstellungen>Info>Systemaktualisierung verfügbar.
| Product | OS | Fixed Version |
|---|---|---|
| Shield TV | Android | SE 6.0 |
Hinweis: Kunden, die frühere Treiberzweige dieser Produkte verwenden, sollten ein Upgrade auf einen der aufgelisteten fest unterstützten Treiberzweige durchführen.
MITIGATIONS
Keine.
DANKSAGUNGEN
Keine.
REVISIONSGESCHICHTE
| Revision | Datum | Beschreibung |
|---|---|---|
| 1.0 | October 5, 2017 | Initial release |
Haftungsausschluss
ALLE NVIDIA-INFORMATIONEN, DESIGNSPEZIFIKATIONEN, REFERENZKARTEN, DATEIEN, ZEICHNUNGEN, DIAGNOSEN, LISTEN UND ANDERE DOKUMENTE (ZUSAMMEN UND EINZELN ALS "MATERIALIEN" BEZEICHNET) WERDEN IN DER VORLIEGENDEN FORM BEREITGESTELLT. NVIDIA ÜBERNIMMT KEINE AUSDRÜCKLICHEN, STILLSCHWEIGENDEN, GESETZLICHEN ODER SONSTIGEN GARANTIEN IN BEZUG AUF DIE MATERIALIEN, UND ALLE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, ZUSICHERUNGEN UND GARANTIEN, EINSCHLIESSLICH ALLER STILLSCHWEIGENDEN GARANTIEN ODER BEDINGUNGEN IN BEZUG AUF EIGENTUM, MARKTGÄNGIGKEIT, ZUFRIEDENSTELLENDE QUALITÄT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND NICHTVERLETZUNG, WERDEN HIERMIT IM GRÖSSTMÖGLICHEN GESETZLICH ZULÄSSIGEN UMFANG AUSGESCHLOSSEN.
Es wird davon ausgegangen, dass die bereitgestellten Informationen korrekt und zuverlässig sind. Die NVIDIA Corporation übernimmt jedoch keine Verantwortung für die Folgen der Nutzung dieser Informationen oder für die Verletzung von Patenten oder anderen Rechten Dritter, die sich aus der Nutzung dieser Informationen ergeben können. Es wird weder stillschweigend noch anderweitig eine Lizenz im Rahmen eines Patents oder Patentrechts der NVIDIA Corporation gewährt. Die in dieser Publikation genannten Spezifikationen können ohne vorherige Ankündigung geändert werden. Diese Publikation ersetzt alle zuvor bereitgestellten Informationen. Produkte der NVIDIA Corporation sind ohne ausdrückliche schriftliche Genehmigung der NVIDIA Corporation nicht zur Verwendung als kritische Komponenten in lebenserhaltenden Geräten oder Systemen zugelassen.