LE VULNERABILITÀ NVIDIA SHIELD TV POSSONO CONDURRE L'ESECUZIONE DEL CODICE, NEGAZIONE DEL SERVIZIO, ESCALATION DEI PRIVILEGI O LA DIVULGAZIONE DELLE INFORMAZIONI
Vai a Sicurezza prodotto NVIDIA.
Dettagli della vulnerabilità
Questa sezione riassume le potenziali vulnerabilità. Le descrizioni utilizzano CWE ™ e le valutazioni del rischio seguono lo standard CVSS V3.
CVE-2017-6290
Il kernel NVIDIA Tegra contiene una vulnerabilità nel driver CORE DVFS Thermal dove esiste la possibilità di leggere o scrivere su un buffer usando un indice o un puntatore che fa riferimento a una posizione di memoria dopo la fine del buffer, il che può portare a una negazione del servizio o possibile escalation di privilegi.
Punteggio base CVSS V3: 8.4
CVSS V3 Vector: AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2017-6294
Il sistema operativo NVIDIA TLK TrustZone contiene una vulnerabilità nel driver di registrazione in cui il software scrive i dati dopo la fine o prima dell'inizio del buffer previsto, il che può portare all'esecuzione di codice arbitrario, negazione del servizio o escalation dei privilegi.
Punteggio base CVSS V3: 8.1
CVSS V3 Vector: AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE-2017-6292
Il sistema operativo NVIDIA TLK TrustZone contiene una vulnerabilità nel gestore di comunicazione TA-to-TA in cui il software esegue un calcolo in grado di produrre un overflow o wraparound intero quando la logica presuppone che il valore risultante sarà sempre maggiore del valore originale, che potrebbe portare codificare l'esecuzione o la negazione del servizio.
Punteggio base CVSS V3: 5.7
CVSS V3 Vector: AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
SHIELD TV include gli ultimi aggiornamenti di sicurezza AndroidTM e ha applicato le patch fino al livello di patch di sicurezza Android 2018-05-05. Per ulteriori informazioni su ciò che è incluso nei livelli di patch di sicurezza Android, fare riferimento ai bollettini di sicurezza Android.
La valutazione del rischio di NVIDIA si basa su una media di rischio in un insieme diversificato di sistemi installati e potrebbe non rappresentare il vero rischio dell'installazione locale. NVIDIA consiglia di rivolgersi a un professionista della sicurezza o IT per valutare il rischio della propria configurazione specifica. Al momento NVIDIA non è a conoscenza di alcun exploit a questi problemi.
Software interessato
Nella tabella seguente sono elencati i software supportati e le versioni interessate. Tutte le versioni di SHIELD TV precedenti alle versioni elencate nella colonna Versioni interessate sono anche influenzate dai problemi in questo bollettino.
| Elenco dei CVE | Prodotto Software | Sistema operativo | Versioni interessate |
|---|---|---|---|
| CVE-2017-6290 CVE-2017-6292 CVE-2017-6294 |
SHIELD TV | Android | SHIELD Experience 6.3 o prima |
Aggiornamenti di sicurezza del software
La seguente tabella elenca la versione del software contenente gli aggiornamenti di sicurezza per i problemi descritti in questo bollettino. Se si utilizza una versione software non supportata o una versione precedente di SHIELD TV non più supportata, eseguire l'aggiornamento alla versione supportata aggiornata elencata.
Il supporto potrebbe essere scaduto per determinati prodotti NVIDIA SHIELD TV. Contattare l'assistenza NVIDIA per qualsiasi domanda.
Gli aggiornamenti per SHIELD sono disponibili da Impostazioni> Informazioni su> Aggiornamento di sistema.
| Prodotto Software | Serie Prodotto | Sistema Operativo | Versione Aggiornata |
|---|---|---|---|
| SHIELD TV | Tutti | Android | SHIELD Experience Upgrade 7.0 |
Fattori attenuanti
Nessuno.
Riconoscimenti
Nessuno.
Ottieni le informazioni sulla sicurezza dei prodotti più aggiornate
Visitare la pagina di sicurezza del prodotto NVIDIA per
- Iscriviti alle notifiche dei bollettini sulla sicurezza
- Consulta l'elenco corrente dei bollettini sulla sicurezza NVIDIA
- Segnala una potenziale vulnerabilità in qualsiasi prodotto supportato da NVIDIA
- Ulteriori informazioni sul processo di gestione delle vulnerabilità seguito dal Team di risposta agli incidenti della sicurezza dei prodotti NVIDIA (PSIRT)
Cronologia delle revisioni
| Revision | Date | Description |
|---|---|---|
| 2.1 | September 14, 2018 | Updated the descriptions of CVE-2017-6294 and CVE-2017-6292 to refer to "potential" vulnerabilities |
| 2.0 | September 13, 2018 | Updated the description and vector for CVE-2017-6290, and added Android security information |
| 1.0 | June 28, 2018 | Initial release |
In caso di domande su questo bollettino sulla sicurezza, contattare l'assistenza NVIDIA.Supporto
Disconoscimento
TUTTE LE INFORMAZIONI NVIDIA, SPECIFICHE DI PROGETTAZIONE, SCHEDE DI RIFERIMENTO, FILE, DISEGNI, DIAGNOSTICA, LISTE E ALTRI DOCUMENTI (INSIEME E SEPARATAMENTE, "MATERIALI") SONO FORNITE "COSÌ COME SONO". NVIDIA NON OFFRE ALCUNA GARANZIA, ESPRESSA, IMPLICITA, LEGALE O ALTRIMENTI PER QUANTO RIGUARDA I MATERIALI E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, LE DICHIARAZIONI E LE GARANZIE, INCLUSE QUALSIASI GARANZIA IMPLICITA O CONDIZIONE DI TITOLO, COMMERCIABILITÀ, QUALITÀ SODDISFACENTE, IDONEITÀ PER UN PARTICOLARE SCOPO E NON VIOLAZIONE, SONO QUI ESCLUSE NELLA MISURA MASSIMA CONSENTITA PER LEGGE.
Le informazioni fornite sono ritenute accurate e affidabili. Tuttavia, NVIDIA Corporation non si assume alcuna responsabilità per le conseguenze dell'uso di tali informazioni o per qualsiasi violazione di brevetti o altri diritti di terzi che potrebbero derivare dal suo utilizzo. Nessuna licenza è concessa implicitamente o in altro modo in base a diritti di brevetto o brevetto di NVIDIA Corporation. Le specifiche menzionate in questa pubblicazione sono soggette a modifiche senza preavviso. Questa pubblicazione sostituisce e sostituisce tutte le informazioni precedentemente fornite. I prodotti NVIDIA Corporation non sono autorizzati per l'uso come componenti critici in dispositivi o sistemi di supporto vitale senza espressa autorizzazione scritta di NVIDIA Corporation.