江蘇
關(guān)鍵詞
漏洞
NVIDIA已發(fā)布全面安全更新,修復(fù)其AI和仿真生態(tài)系統(tǒng)中的多個(gè)高危漏洞。這些補(bǔ)丁涵蓋NeMo框架、Resiliency擴(kuò)展以及Isaac Sim機(jī)器人仿真平臺,修復(fù)了可能允許攻擊者在受影響系統(tǒng)上執(zhí)行任意代碼、篡改數(shù)據(jù)或提升權(quán)限的漏洞。
關(guān)鍵漏洞:Isaac Lab反序列化漏洞(CVSS 9.0)
安全團(tuán)隊(duì)最需優(yōu)先處理的是(CVE-2025-32210),該漏洞存在于Isaac Sim框架的NVIDIA Isaac Lab組件中。這個(gè)CVSS基礎(chǔ)評分為9.0(嚴(yán)重)的漏洞源于不安全的反序列化操作——這類漏洞通常因處理未經(jīng)驗(yàn)證的不受信任數(shù)據(jù)而產(chǎn)生。公告指出:"成功利用此漏洞可能導(dǎo)致代碼執(zhí)行",這意味著攻擊者可能完全控制仿真環(huán)境。NVIDIA已在Isaac Sim 2.3.0版本中修復(fù)該漏洞,所有早期版本的Isaac Lab均已獲得補(bǔ)丁。
NeMo框架高危漏洞
NVIDIA還修復(fù)了其生成式AI模型構(gòu)建工具包NeMo Framework中的兩個(gè)高危漏洞,這兩個(gè)漏洞影響所有運(yùn)行2.5.3之前版本的平臺:
(CVE-2025-33212,CVSS 7.3):該漏洞隱藏在模型加載過程中,若用戶不當(dāng)加載惡意構(gòu)造的文件,攻擊者可"利用控制機(jī)制",可能導(dǎo)致代碼執(zhí)行或權(quán)限提升。
(CVE-2025-33226,CVSS 7.8):由惡意數(shù)據(jù)觸發(fā)的代碼注入漏洞,可導(dǎo)致"代碼執(zhí)行、權(quán)限提升、信息泄露和數(shù)據(jù)篡改"等多種攻擊。
開發(fā)者應(yīng)立即升級至NeMo Framework 2.5.3版本以消除風(fēng)險(xiǎn)。
Linux Resiliency擴(kuò)展漏洞
第三份公告針對用于增強(qiáng)系統(tǒng)穩(wěn)定性的NVIDIA Resiliency Extension for Linux工具,諷刺的是,該工具本身存在可能導(dǎo)致系統(tǒng)被攻陷的漏洞:
(CVE-2025-33225,CVSS 8.4):日志聚合功能中的漏洞允許攻擊者制造"可預(yù)測的日志文件名",這個(gè)看似微小的問題可能引發(fā)包括代碼執(zhí)行和服務(wù)拒絕在內(nèi)的嚴(yán)重后果。
(CVE-2025-33235,CVSS 7.8):存在于"檢查點(diǎn)核心"中的漏洞允許攻擊者觸發(fā)競態(tài)條件,成功利用可導(dǎo)致未授權(quán)數(shù)據(jù)訪問或權(quán)限提升。
這些漏洞影響0.5.0版本之前的主分支(競態(tài)條件漏洞影響0.4.1版本),修復(fù)方案已包含在0.5.0版本中。
隨著AI和仿真工具在企業(yè)環(huán)境中的快速普及,這些漏洞為試圖從開發(fā)環(huán)境滲透至更廣泛網(wǎng)絡(luò)的威脅行為者提供了理想目標(biāo)。管理員應(yīng)立即應(yīng)用這些更新。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
