NVIDIA SHIELD TV SCHWACHSTELLEN KÖNNEN ZU CODEAUSFÜHRUNG, DENIAL-OF-SERVICE, ESKALATION VON PRIVILEGIEN ODER OFFENLEGUNG VON INFORMATIONEN FÜHREN
Gehen Sie zu NVIDIA Product Security.
Details zur Schwachstelle
In diesem Abschnitt werden die potenziellen Schwachstellen zusammengefasst. Die Beschreibungen verwenden CWE™ und die Risikobewertungen folgen dem CVSS V3 Standard.
CVE-2017-6290
Der NVIDIA Tegra-Kernel enthält eine Sicherheitsanfälligkeit im CORE DVFS Thermal-Treiber, bei der die Möglichkeit besteht, mit einem Index oder Zeiger, der auf eine Speicherstelle nach dem Ende des Puffers verweist, aus einem Puffer zu lesen oder in einen Puffer zu schreiben, was zu einer Dienstverweigerung oder einer möglichen Eskalation von Berechtigungen führen kann.
CVSS V3 Base Score: 8.4
CVSS V3 Vector: AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2017-6294
NVIDIA TLK TrustZone OS enthält eine Schwachstelle im Protokollierungstreiber, bei der die Software Daten nach dem Ende oder vor dem Anfang des vorgesehenen Puffers schreibt. Dies kann zur Ausführung von beliebigem Code, zur Verweigerung von Diensten oder zur Eskalation von Privilegien führen.
CVSS V3 Base Score: 8.1
CVSS V3 Vector: AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE-2017-6292
NVIDIA TLK TrustZone OS enthält eine Schwachstelle im TA-to-TA-Kommunikationshandler, bei der die Software eine Berechnung durchführt, die zu einem Integer-Überlauf oder einem Wraparound führen kann, wenn die Logik davon ausgeht, dass der resultierende Wert immer größer als der ursprüngliche Wert ist, was zu Codeausführung oder Denial-of-Service führen kann.
CVSS V3 Base Score: 5.7
CVSS V3 Vector: AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
SHIELD TV enthält die neuesten AndroidTM-Sicherheitsupdates und hat Patches bis zum Android Security Patch Level 2018-05-05 installiert. Weitere Informationen zu den Android-Sicherheitspatch-Levels finden Sie in den Android Security Bulletins.
Die Risikobewertung von NVIDIA basiert auf einem Durchschnitt des Risikos auf einer Vielzahl von installierten Systemen und entspricht möglicherweise nicht dem tatsächlichen Risiko Ihrer lokalen Installation. NVIDIA empfiehlt, einen Sicherheits- oder IT-Experten zu Rate zu ziehen, um das Risiko Ihrer spezifischen Konfiguration zu bewerten. NVIDIA sind derzeit keine Exploits für diese Probleme bekannt.
Betroffene Software
In der folgenden Tabelle sind die unterstützte Software und die betroffenen Versionen aufgeführt. Alle SHIELD TV Versionen vor den in der Spalte "Betroffene Versionen" aufgeführten Versionen sind ebenfalls von den Problemen in diesem Bulletin betroffen
| List of CVEs | Software Product | Operating System | Affected Versions |
|---|---|---|---|
| CVE-2017-6290 CVE-2017-6292 CVE-2017-6294 |
SHIELD TV | Android | SHIELD Experience 6.3 and earlier |
Software-Sicherheitsupdates
In der folgenden Tabelle sind die Softwareversionen aufgeführt, die Sicherheitsupdates für die in diesem Bulletin beschriebenen Probleme enthalten. Wenn Sie eine nicht unterstützte Softwareversion oder eine frühere SHIELD TV-Version verwenden, die nicht mehr unterstützt wird, aktualisieren Sie auf die aufgelistete unterstützte Version.
Der Support für bestimmte NVIDIA SHIELD TV Produkte ist möglicherweise ausgelaufen. Wenden Sie sich bei Fragen an den NVIDIA Support.
Updates für SHIELD sind unter Einstellungen>Info>Systemaktualisierung verfügbar.
| Software Product | Product Series | Operating System | Updated Version |
|---|---|---|---|
| SHIELD TV | All | Android | SHIELD Experience Upgrade 7.0 |
Abhilfemaßnahmen
Keine.
Danksagungen
Keine.
ERHALTEN SIE DIE AKTUELLSTEN INFORMATIONEN ZUR PRODUKTSICHERHEIT
Besuchen Sie die NVIDIA-Produktsicherheitsseite, um
- Sicherheits-Bulletins zu abonnieren
- die aktuelle Liste der NVIDIA Sicherheits-Bulletins einzusehen
- eine potenzielle Sicherheitslücke in einem von NVIDIA unterstützten Produkt zu melden
- Erfahren Sie mehr über den Schwachstellen-Management-Prozess des NVIDIA Product Security Incident Response Teams (PSIRT)
REVISIONSHISTORIE
| Revision | Date | Description |
|---|---|---|
| 2.1 | September 14, 2018 | Updated the descriptions of CVE-2017-6294 and CVE-2017-6292 to refer to "potential" vulnerabilities |
| 2.0 | September 13, 2018 | Updated the description and vector for CVE-2017-6290, and added Android security information |
| 1.0 | June 28, 2018 | Initial release |
SUPPORT
Wenn Sie Fragen zu diesem Sicherheitsbulletin haben, wenden Sie sich bitte an den NVIDIA Support.
Haftungsausschluss
ALLE NVIDIA-INFORMATIONEN, DESIGN-SPEZIFIKATIONEN, REFERENZKARTEN, DATEIEN, ZEICHNUNGEN, DIAGNOSEN, LISTEN UND ANDERE DOKUMENTE (ZUSAMMEN UND EINZELN ALS "MATERIALIEN" BEZEICHNET) WERDEN OHNE MÄNGELGEWÄHR BEREITGESTELLT. NVIDIA ÜBERNIMMT KEINE AUSDRÜCKLICHEN, STILLSCHWEIGENDEN, GESETZLICHEN ODER SONSTIGEN GARANTIEN IN BEZUG AUF DIE MATERIALIEN, UND ALLE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, ZUSICHERUNGEN UND GARANTIEN, EINSCHLIESSLICH ALLER STILLSCHWEIGENDEN GARANTIEN ODER BEDINGUNGEN IN BEZUG AUF DAS EIGENTUM, DIE MARKTGÄNGIGKEIT, DIE ZUFRIEDENSTELLENDE QUALITÄT, DIE EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DIE NICHTVERLETZUNG VON RECHTEN, WERDEN HIERMIT IM GRÖSSTMÖGLICHEN GESETZLICH ZULÄSSIGEN UMFANG AUSGESCHLOSSEN.
Es wird davon ausgegangen, dass die bereitgestellten Informationen korrekt und zuverlässig sind. Die NVIDIA Corporation übernimmt jedoch keine Verantwortung für die Folgen der Nutzung dieser Informationen oder für die Verletzung von Patenten oder anderen Rechten Dritter, die sich aus der Nutzung dieser Informationen ergeben können. Es wird weder stillschweigend noch anderweitig eine Lizenz im Rahmen eines Patents oder Patentrechts der NVIDIA Corporation gewährt. Die in dieser Publikation genannten Spezifikationen können ohne vorherige Ankündigung geändert werden. Diese Publikation ersetzt alle zuvor bereitgestellten Informationen. Produkte der NVIDIA Corporation dürfen ohne ausdrückliche schriftliche Genehmigung der NVIDIA Corporation nicht als kritische Komponenten in lebenserhaltenden Geräten oder Systemen verwendet werden.