LAS VULNERABILIDADES DE NVIDIA SHIELD TV PUEDEN CONDUCIR A CÓDIGOS DE EJECUCIÓN, DENEGACIÓN DE SERVICIO, ESCALA DE PRIVILEGIOS O DIVULGACIÓN DE INFORMACIÓN
Vaya a NVIDIA Product Security.
Detalles de vulnerabilidad
Esta sección resume las vulnerabilidades potenciales. Las descripciones usan CWE ™ y las evaluaciones de riesgo siguen el estándar CVSS V3.
CVE-2017-6290
El kernel NVIDIA Tegra contiene una vulnerabilidad en el controlador térmico CORE DVFS donde existe la posibilidad de leer o escribir en un búfer usando un índice o puntero que hace referencia a una ubicación de memoria después del final del búfer, lo que puede llevar a una denegación de servicio o posible escalada de privilegios.
Puntuación base CVSS V3: 8.4
Vector CVSS V3: AV: L / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H
CVE-2017-6294
NVIDIA TLK TrustZone OS contiene una vulnerabilidad en el controlador de registro donde el software escribe datos después del final o antes del comienzo del búfer previsto, lo que puede conducir a la ejecución de código arbitrario, denegación de servicio o escalada de privilegios.
Puntuación Base CVSS V3: 8.1
Vector CVSS V3: AV: P / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
CVE-2017-6292
NVIDIA TLK TrustZone OS contiene una vulnerabilidad en el controlador de comunicación TA-to-TA donde el software realiza un cálculo que puede producir un desbordamiento de entero o envolvente cuando la lógica asume que el valor resultante siempre será mayor que el valor original, lo que puede conducir para codificar la ejecución o denegación de servicio.
Puntuación base CVSS V3: 5.7
Vector CVSS V3: AV: P / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
SHIELD TV incluye las últimas actualizaciones de seguridad de AndroidTM y ha aplicado parches hasta el nivel de parche de seguridad de Android 2018-05-05. Para obtener más información sobre lo que se incluye en los niveles de parches de seguridad de Android, consulta los boletines de seguridad de Android.
La evaluación de riesgos de NVIDIA se basa en un promedio de riesgo en un conjunto diverso de sistemas instalados y puede no representar el verdadero riesgo de su instalación local. NVIDIA recomienda consultar a un profesional de TI o de seguridad para evaluar el riesgo de su configuración específica. NVIDIA no sabe de ningún exploit a estos problemas en este momento.
Software afectado
La siguiente tabla enumera el software compatible y sus versiones afectadas. Todas las versiones de SHIELD TV anteriores a las versiones enumeradas en la columna Versiones afectadas también se ven afectadas por los problemas de este boletín.
| List of CVEs | Software Product | Operating System | Affected Versions |
|---|---|---|---|
| CVE-2017-6290 CVE-2017-6292 CVE-2017-6294 |
SHIELD TV | Android | SHIELD Experience 6.3 and earlier |
Actualizaciones de seguridad de software
La siguiente tabla enumera la versión del software que contiene actualizaciones de seguridad para los problemas descritos en este boletín. Si está utilizando una versión de software no compatible o una versión anterior de SHIELD TV que ya no es compatible, actualice a la versión respaldada actualizada que figura en la lista.
El soporte puede haber expirado para ciertos productos NVIDIA SHIELD TV. Póngase en contacto con el soporte de NVIDIA si tiene alguna pregunta.
Las actualizaciones de SHIELD están disponibles en Configuración> Acerca de> Actualización del sistema.
| Software Product | Product Series | Operating System | Updated Version |
|---|---|---|---|
| SHIELD TV | All | Android | SHIELD Experience Upgrade 7.0 |
Mitigaciones
Ninguna.
Expresiones de gratitud
Ninguna.
Obtenga la información más actualizada sobre seguridad del producto
Visite la página de seguridad del producto NVIDIA para
- Suscribirse a notificaciones de boletines de seguridad
- Consulte la lista actual de boletines de seguridad de NVIDIA
- Informar una vulnerabilidad potencial en cualquier producto compatible con NVIDIA
- Obtenga más información sobre el proceso de administración de vulnerabilidades seguido por el Equipo de respuesta a incidentes de seguridad de productos de NVIDIA (PSIRT)
Histórica de la Revisión
| Revision | Date | Description |
|---|---|---|
| 2.1 | September 14, 2018 | Updated the descriptions of CVE-2017-6294 and CVE-2017-6292 to refer to "potential" vulnerabilities |
| 2.0 | September 13, 2018 | Updated the description and vector for CVE-2017-6290, and added Android security information |
| 1.0 | June 28, 2018 | Initial release |
Soporte
Si tiene alguna pregunta sobre este boletín de seguridad, comuníquese con el Soporte de NVIDIA.
Renuncia
TODA LA INFORMACIÓN, ESPECIFICACIONES DE DISEÑO, TABLEROS DE REFERENCIA, ARCHIVOS, DIBUJOS, DIAGNÓSTICOS, LISTAS Y OTROS DOCUMENTOS DE NVIDIA (JUNTOS Y POR SEPARADO, "MATERIALES") SE PROPORCIONAN "TAL CUAL". NVIDIA NO OFRECE GARANTÍAS, EXPRESAS, IMPLÍCITAS, ESTATUTARIAS O DE OTRA MANERA CON RESPECTO A LOS MATERIALES Y TODAS LAS CONDICIONES EXPRESAS O IMPLÍCITAS, DECLARACIONES Y GARANTÍAS, INCLUIDAS LAS GARANTÍAS O CONDICIONES DE TÍTULO IMPLÍCITAS, COMERCIABILIDAD, CALIDAD SATISFACTORIA, APTITUD PARA UN PROPÓSITO EN PARTICULAR Y NO INFRACCIÓN, QUEDAN EXCLUIDAS EN LA MEDIDA MÁXIMA PERMITIDA POR LEY.
La información proporcionada se cree que es precisa y fiable. Sin embargo, NVIDIA Corporation no asume ninguna responsabilidad por las consecuencias del uso de dicha información o por cualquier infracción de patentes u otros derechos de terceros que puedan resultar de su uso. No se otorga ninguna licencia por implicación o de otro modo bajo ninguna patente o derechos de patente de NVIDIA Corporation. Las especificaciones mencionadas en esta publicación están sujetas a cambios sin previo aviso. Esta publicación sustituye y reemplaza toda la información proporcionada anteriormente. Los productos de NVIDIA Corporation no están autorizados para su uso como componentes críticos en dispositivos o sistemas de soporte vital sin la aprobación expresa por escrito de NVIDIA Corporation.