NVIDIA y Arm han instado a los clientes a actualizar sus productos después de revelar una serie de nuevas vulnerabilidades. Arm anunció una vulnerabilidad de día cero explotada activamente en su controlador kernel de GPU de Mali que permite «operaciones inadecuadas de procesamiento de memoria de GPU». Catalogada como CVE-2024-4610, la vulnerabilidad afecta a todas las versiones de sus controladores Bifrost y Valhall, desde r34p0 a r40p0. «Un usuario local sin privilegios puede realizar operaciones inadecuadas de procesamiento de memoria de GPU para obtener acceso a la memoria ya liberada», señala el aviso. “Arm está al tanto de los informes sobre la explotación de esta vulnerabilidad en la naturaleza. Se recomienda a los usuarios que actualicen si se ven afectados por este problema”. Lea más sobre vulnerabilidades a nivel de chip: Vulnerabilidad crítica encontrada en los chips Unisoc de Motorola Mientras tanto, un nuevo boletín de seguridad de NVIDIA de junio reveló 10 nuevas vulnerabilidades de gravedad alta y media en sus productos de software GPU Display Driver y VGPU. Los expertos en seguridad destacaron el CVE‑2024‑0090 como potencialmente el más grave. El error de escritura fuera de límites podría provocar la ejecución de código, denegación de servicio, escalada de privilegios, divulgación de información y manipulación de datos, dijo NVIDIA. «CVE-2024-0090 es preocupante dada su versatilidad para un atacante, el hecho de que afecta tanto a Windows como a Linux, y la ubicuidad de las GPU de Nvidia en la superficie de ataque general», argumentó el fundador de Bugcrowd, Casey Ellis. «No me sorprendería verlo incluido en las herramientas de ataque en un futuro no muy lejano». John Bambenek, presidente de Bambenek Consulting, también pidió precaución. «A juzgar por las puntuaciones CVSS, no parece que NVIDIA crea que la ejecución remota de estas vulnerabilidades sea posible», argumentó. “La preocupación aquí es que a veces los controladores de dispositivos pueden pasarse por alto como parte del proceso de parcheo, especialmente cuando no forman parte del proceso de parcheo del sistema operativo. Por lo tanto, puede ser necesario un esfuerzo especial para encontrar estos sistemas vulnerables y parchearlos, lo que probablemente requerirá un reinicio”. Haber de imagen: Ascannio/Shutterstock.com