Sistem yazılımında saldırganların kötü amaçlı kod çalıştırmasına ve hizmet reddi saldırıları başlatmasına olanak verebilecek 14 güvenlik açığının keşfedilmesinin ardından DGX Spark AI iş istasyonu için acil bir güvenlik güncellemesi.
En ciddi kusurun CVSS puanı 9,3’tür ve yeni OTA0 güncellemesinden önceki sürümleri çalıştıran tüm DGX Spark cihazlarını etkilemektedir.
Güvenlik açıkları, SROOT, OSROOT ve donanım kaynağı kontrolleri dahil olmak üzere DGX Spark GB10’un birden fazla ürün yazılımı bileşeninde bulunuyor.
NVIDIA’nın Saldırı Güvenliği Araştırma ekibi, yapay zeka iş istasyonunu ciddi güvenlik risklerine maruz bırakan bu kusurları tespit etti.
Yerel erişime sahip saldırganlar, güvenlik korumalarını atlamak, donanım kontrollerini değiştirmek ve çip üzerindeki sistemin korunan alanlarına yetkisiz erişim sağlamak için bu zayıflıklardan yararlanabilir.
CVE-2025-33187 olarak takip edilen kritik güvenlik açığı, ayrıcalıklı erişime sahip saldırganların SoC tarafından korunan alanları ihlal etmesine olanak tanıyor.
| CVE Kimliği | Taban Puan | CWE | Potansiyel Etkiler |
|---|---|---|---|
| CVE-2025-33187 | 9.3 | CWE-269 | Kod yürütme, bilgilerin ifşa edilmesi, veri tahrifatı, hizmet reddi, ayrıcalıkların artırılması |
| CVE-2025-33188 | 8.0 | CWE-269 | Bilgi ifşası, veri tahrifatı, hizmet reddi |
| CVE-2025-33189 | 7.8 | CWE-787 | Kod yürütme, veri tahrifatı, hizmet reddi, bilgilerin ifşa edilmesi, ayrıcalıkların artırılması |
| CVE-2025-33190 | 6.7 | CWE-787 | Kod yürütme, veri tahrifatı, hizmet reddi, ayrıcalıkların yükseltilmesi |
| CVE-2025-33191 | 5.7 | CWE-20 | Hizmet reddi |
| CVE-2025-33192 | 5.7 | CWE-690 | Kod yürütme, hizmet reddi, bilgilerin ifşa edilmesi |
| CVE-2025-33193 | 5.7 | CWE-354 | Kod yürütme, hizmet reddi, bilgilerin ifşa edilmesi |
| CVE-2025-33194 | 5.7 | CWE-180 | Bilgi ifşası, hizmet reddi |
| CVE-2025-33195 | 4.4 | CWE-119 | Veri tahrifatı, hizmet reddi, ayrıcalıkların yükseltilmesi |
| CVE-2025-33196 | 4.4 | CWE-226 | Bilgi ifşası |
| CVE-2025-33197 | 4.3 | CWE-476 | Kod yürütme, hizmet reddi |
| CVE-2025-33198 | 3.3 | CWE-226 | Bilgi ifşası |
| CVE-2025-33199 | 3.2 | CWE-670 | Veri tahrifatı |
| CVE-2025-33200 | 2.3 | CWE-226 | Bilgi ifşası |
Potansiyel olarak kod yürütülmesine, veri hırsızlığına, sistem manipülasyonuna, hizmet reddi saldırılarına veya ayrıcalık artışına yol açabilir. Bu kusur, kritik ciddiyet derecesi ve sistem bütünlüğü üzerindeki kapsamlı etkisi nedeniyle derhal ilgilenilmesini gerektirir.
OTA0’dan önceki sürümleri çalıştıran tüm NVIDIA DGX Spark sistemleri savunmasızdır. Güvenlik güncellemesi 14 CVE’nin tamamını aynı anda ele alır.
NVIDIA, müşterilerini resmi NVIDIA DGX web sitesinden en son DGX işletim sistemi sürümünü hemen indirip yüklemeye çağırıyor.
Kullanıcılar ayrıca güvenlik bültenlerine abone olmak ve olası güvenlik sorunlarını bildirmek için NVIDIA Ürün Güvenliği sayfasını ziyaret edebilir. Güvenlik açıklarından yararlanmak için öncelikle yerel erişim gerekiyor, ancak bazıları ayrıcalıklar olmadan tetiklenebiliyor.
Yapay zeka geliştirme ve makine öğrenimi iş yükleri için DGX Spark iş istasyonlarını kullanan kuruluşların, hassas yapay zeka modellerinin ve eğitim verilerinin tehlikeye girme olasılığını önlemek için bu güncellemeye öncelik vermesi gerekir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
