英伟达漏洞致 AI 与机器人平台面临远程代码执行和数据泄露风险

发布时间：2025-12-07 15:22:33 作者：玩站小弟

英伟达已针对其Jetson Linux和IGX平台发布安全更新，修复了两个可能导致系统遭受代码执行、数据篡改、服务拒绝和信息泄露的漏洞。这两个编号为CVE-2025-23270和CVE-2025-23 。

英伟达已针对其Jetson Linux和IGX平台发布安全更新，英伟修复了两个可能导致系统遭受代码执行、达漏洞数据篡改、机器服务拒绝和信息泄露的人平漏洞。这两个编号为CVE-2025-23270和CVE-2025-23269的台面漏洞影响广泛用于人工智能、源码库机器人和嵌入式边缘计算的临远Jetson Orin及Xavier系列产品。

高危UEFI管理漏洞

其中更严重的程代CVE-2025-23270漏洞CVSS基础评分为7.1分，影响Jetson Linux的码执UEFI（统一可扩展固件接口）管理模式。服务器租用该漏洞允许本地低权限攻击者利用侧信道缺陷，行和泄露可能导致：

任意代码执行关键数据篡改系统服务拒绝敏感信息泄露

英伟达警告称："成功利用此漏洞可能导致代码执行、数据数据篡改、风险服务拒绝和信息泄露"。英伟该漏洞源于UEFI隔离环境中对敏感操作的达漏洞不安全处理，源码下载推测执行和共享硬件状态可能无意间跨越权限边界泄露信息。机器

内核级信息泄露风险

第二个漏洞CVE-2025-23269是人平CVSS评分4.7的内核漏洞，允许具备本地低权限的攻击者通过共享微架构预测器利用瞬态执行行为。香港云服务器英伟达表示："成功利用此漏洞可能导致信息泄露" 。虽然比CVE-2025-23270更难利用，但这个内核级问题可能成为旨在提升权限或从内存提取敏感信息的链式攻击的跳板。

受影响产品及修复方案

这些漏洞影响多款英伟达嵌入式系统，亿华云特别是使用Jetson Linux和IGX OS的设备。已发布以下补丁：

产品系列

受影响版本

已修复版本

Jetson Orin系列

JP5.x < 35.6.2, JP6.x < 36.4.4

35.6.2 / 36.4.4

Jetson Xavier系列

JP5.x < 35.6.2

35.6.2

IGX Orin

IGX OS < 1.1.2

IGX 1.1.2

使用Jetson平台开发机器人、自动驾驶汽车、边缘AI或工业自动化系统的云计算管理员和开发人员应立即更新系统。

Tag：

不亚于 WannaCry，安全专家发现微软 Windows 10 / Windows 11 上的蠕虫漏洞
12 月 21 日消息，网络安全专家近日在 Windows 平台上发现了一个代码执行漏洞，其危险程度不亚于 2017 年肆虐全球的 EternalBlue / WannaCry 漏洞。该漏洞追踪编号为
2025-12-07
美国众议院议员和工作人员数据被盗，FBI 介入调查
Bleeping Computer 网站披露，美国联邦调查局FBI）正在调查一起影响美国众议院议员和工作人员的数据泄露事件。据悉，被盗的敏感个人数据信息从来自 DC Health Link 的服务器。
2025-12-07
遭到网络攻击后，企业董事会应该承担责任吗？
网络攻击风险正在持续增大，企业有必要考虑，如果遭到网络攻击，公司的董事会是否需要为未采取有效防护措施，降低网络安全风险而承担责任。本文旨在为组织的董事会成员提供一些建议，理清企业在网络攻击之前、期间
2025-12-07
防范复杂的网络攻击，仅凭技术远远不够
译者 | 刘涛审校 | 孙淑娟尽管我们经常会庆祝技术的发展和创新的进步，但网络攻击的日益复杂性使得情况不容乐观。网络安全措施需要比网络攻击提前一步，才有希望与其对抗，但是随着黑客和网络安全工具的发展
2025-12-07
提升应用可观察性的八款热门工具推荐
可观测性不是一个新鲜的名词，主要是指通过分析数字化应用系统的指标Metrics）、链路Traces）、日志Logs）等数据，构建出完整的态势观测模型，从而实现快速的威胁发现和故障诊断。在许多情况下，可
2025-12-07
基于Alertmanager设计告警降噪系统，成本低可落地
一、背景转转基于Prometheus落地了一体化监控系统，并自研了告警系统，但研发同学每人每天都会接收到很多告警，导致重要的告警被淹没，部分同学会选择直接屏蔽掉所有告警，进一步加重问题。告警过多等同于
2025-12-07