关键词

漏洞

英伟达近日为其 AI、机器人与嵌入式边缘计算平台发布安全补丁,重点修复了两个高危漏洞(CVE-2025-23270、CVE-2025-23269),影响广泛涉及 Jetson Orin、Xavier 系列及 IGX Orin 设备 。

漏洞详情解析
CVE‑2025‑23270 —— 高危 UEFI 管理漏洞(CVSS 7.1)

  • 所在:Jetson Linux 运行环境 UEFI 管理模式。

  • 危害:本地低权限攻击者可能通过侧信道漏洞,执行任意代码、篡改数据、拒绝服务甚至造成敏感信息泄露。

  • 原因:UEFI 隔离环境对敏感操作处理不当,硬件共享状态泄露权限边界信息。

️ CVE‑2025‑23269 —— 内核信息泄露漏洞(CVSS 4.7)

  • 所在:Jetson Linux 内核中的微架构预测器共享机制。

  • 危害:本地低权限用户利用瞬态执行漏洞可能读取内存敏感数据,为后续提权或链式攻击奠定基础。

受影响设备与补丁详情

产品系列

受影响版本

修复版本

Jetson Orin JP5.x < 35.6.2 35.6.2 Jetson Orin JP6.x < 36.4.4 36.4.4

Jetson Xavier

JP5.x < 35.6.2 35.6.2

IGX Orin

IGX OS < 1.1.2 IGX 1.1.2

所有用户应立即通过 Jetson 下载中心获取并部署最新补丁版本。

风险度测评与防御建议

  • **UEFI 漏洞(23270)**属高危,影响系统完整性、可用性和隐私,攻击要求物理或本地访问,但一旦成功后果严重。

  • **内核漏洞(23269)**虽风险中等,但可被用于多阶段攻击链。


推荐缓解策略:

  1. 立即升级系统固件,安装 Jetson/Linux 补丁;

  2. 对于存在本地访问风 险的环境,建议开启物理保护及访问控制;

  3. 在关键路径部署行为监控工具,检测异常 UEFI 操作或内核数据读取;

  4. 隔离边缘设备所在网络,实施严格分段管理,防止侧向攻击;

  5. 尽可能避免本地使用未经授权账号,启用最小权限原则。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!