英伟达处理器被曝出新漏洞，无人机、路由器等易受影响

有喜欢玩无人机的小伙伴注意喽，近日通过外媒报道发现英伟达报错新漏洞。专家表示，无人机、路由器等设备将会受到影响，请大家关注英伟达（NVIDIA）官方网站及时升级补丁。

据外媒报道，英伟达（NVIDIA） Tegra处理器中的一个新漏洞CVE-2019-5680将使设备所用系统暴露于多重网络攻击之下，受影响的主要是物联网（IoT）设备。该漏洞在通用漏洞评分系统（CommonVulnerability Scoring System）上得分为7.7/ 10，表明这是一个重要的漏洞。易受攻击的设备容易受到数据转发、劫持、恶意代码执行和权限提升的影响。

外媒报道发现英伟达（NVIDIA）在R32.2之前的NVIDIA Jetson TX1 L4T R32版本分支中，Tegra引导加载程序在nvtboot中包含一个漏洞，其中加载了nvtboot-cpu映像而没有首先验证加载地址，这可能导致代码执行，拒绝服务或特权升级。

根据外媒报道，该漏洞“影响到目前为止发布的每一个Tegra设备”，发现该漏洞者还创建了一个名为Selfblow的概念验证（PoC）来利用此漏洞。

该漏洞更多地出现在名为Jetson TX1 L4T的Tegra片上系统（SoC）框架中，用于需要低功耗的设备，如无人机和物联网设备。目前还不清楚有多少芯片利用易受攻击的框架。然而，据发现者表示，他的PoC可以闪存（或重新编程）Tegra芯片来运行Jetson TX1，从而大大扩大了易受攻击设备的范围。

外媒还报道说，利用这个漏洞的一种方法是让本地对手访问和写入芯片的嵌入式MultiMediaCard（eMMC），如果不能在地方一级完成，可以通过该发现者的PoC（Selfblow）来完成。例如，PoC可以通过恶意Android应用程序或可以写入eMMC的诱杀陷阱网站发送。

此类设备大多是一些低功耗的设备，如无人机，路由器等。英伟达已经发布了一个更新补丁以降低风险。在所有装载该处理器的设备中，使用JetsonTX1 L4T系统的设备要尤其注意此漏洞。