Nvidia po cichu naprawiła błąd zabezpieczeń Tegry

18 lipca Nvidia opublikowała aktualizację bezpieczeństwa dla zestawów developerskich Jeston TX1. Firma nie umieściła jednak w dołączonym do aktualizacji biuletynie szczegółowego wyjaśnienia, co dokładnie naprawiono w układach z serii Tegra. Okazuje się, że chodzi tu o lukę Selfblow, którą niedawno ujawnił węgierski hacker Triszka Balázs. Triszka wyjaśnił, że 9 marca 2019 roku firmie została zgłoszona wykryta przez niego usterka, pozwalająca złamać zabezpieczenia sprzętu wykorzystującego podzespoły z serii Tegra.

Nazwa „Selfblow" wzięła się od autodestrukcyjnego charakteru bootloadera (programu rozruchowego). Jego ładowanie odbywało się bez poprawnego adresowania pamięci, co mogło prowadzić do jej dowolnego zapełniania, a w efekcie pozwalało szkodliwemu oprogramowaniu na obejście zabezpieczeń, zwiększenie uprawnień w systemie i działanie w tle bez wiedzy użytkownika. Ze sprzętu działającego pod Tegrą bezpieczna miała być jedynie konsola Nintendo Switch, korzystająca z innego bootloadera.

Początkowo firma miała 90 dni na wyeliminowanie błędu – datę publicznego ogłoszenia ustalono na 15 czerwca. Nvidia dostała nieco więcej czasu, ale długo nie traktowała błędu poważnie.

„Po zgłoszeniu nawet nie przypisano identyfikatora CVE [parametr dzielący wykryte nieprawidłowości na podatności oraz zagrożenia – zależnie od tego czy są pośrednią czy bezpośrednią przyczyną błędu – dop. red.]. Po 4 miesiącach postanowiłem przekazać to w dobrej wierze opinii publicznej, żeby zachęcić Nvidię do załatania dziury" – skomentował Balázs.

Jak twierdzi serwis tomshardware, Nvidia ostatecznie naprawiła usterkę. Balázs wciąż jednak ma wątpliwości dotyczące zbagatelizowania błędu i pominięcia go w opisie aktualizacji, a także niewłaściwej oceny ryzyka. Jego zdaniem zagrożenie było dużo większe, niż może wskazywać postawa firmy.