英偉達(dá)已針對(duì)其Jetson Linux和IGX平臺(tái)發(fā)布安全更新，修復(fù)了兩個(gè)可能導(dǎo)致系統(tǒng)遭受代碼執(zhí)行、數(shù)據(jù)篡改、服務(wù)拒絕和信息泄露的漏洞。這兩個(gè)編號(hào)為CVE-2025-23270和CVE-2025-23269的漏洞影響廣泛用于人工智能、機(jī)器人和嵌入式邊緣計(jì)算的Jetson Orin及Xavier系列產(chǎn)品。

高危UEFI管理漏洞

其中更嚴(yán)重的CVE-2025-23270漏洞CVSS基礎(chǔ)評(píng)分為7.1分，影響Jetson Linux的UEFI（統(tǒng)一可擴(kuò)展固件接口）管理模式。該漏洞允許本地低權(quán)限攻擊者利用側(cè)信道缺陷，可能導(dǎo)致：

• 任意代碼執(zhí)行
• 關(guān)鍵數(shù)據(jù)篡改
• 系統(tǒng)服務(wù)拒絕
• 敏感信息泄露

英偉達(dá)警告稱："成功利用此漏洞可能導(dǎo)致代碼執(zhí)行、數(shù)據(jù)篡改、服務(wù)拒絕和信息泄露"。該漏洞源于UEFI隔離環(huán)境中對(duì)敏感操作的不安全處理，推測(cè)執(zhí)行和共享硬件狀態(tài)可能無(wú)意間跨越權(quán)限邊界泄露信息。

內(nèi)核級(jí)信息泄露風(fēng)險(xiǎn)

第二個(gè)漏洞CVE-2025-23269是CVSS評(píng)分4.7的內(nèi)核漏洞，允許具備本地低權(quán)限的攻擊者通過(guò)共享微架構(gòu)預(yù)測(cè)器利用瞬態(tài)執(zhí)行行為。英偉達(dá)表示："成功利用此漏洞可能導(dǎo)致信息泄露"。雖然比CVE-2025-23270更難利用，但這個(gè)內(nèi)核級(jí)問(wèn)題可能成為旨在提升權(quán)限或從內(nèi)存提取敏感信息的鏈?zhǔn)焦舻奶濉?/p>

受影響產(chǎn)品及修復(fù)方案

這些漏洞影響多款英偉達(dá)嵌入式系統(tǒng)，特別是使用Jetson Linux和IGX OS的設(shè)備。已發(fā)布以下補(bǔ)?。?/p>

使用Jetson平臺(tái)開發(fā)機(jī)器人、自動(dòng)駕駛汽車、邊緣AI或工業(yè)自動(dòng)化系統(tǒng)的管理員和開發(fā)人員應(yīng)立即更新系統(tǒng)。