Исправление критической ошибки в инструменте, позволяющем организациям запускать контейнеры с ускорением на GPU, не полностью решило проблему.

Исследователи призывают предприятия, которые используют графические процессоры Nvidia для своих рабочих нагрузок ИИ, обеспечить исправление критических уязвимостей безопасности в наборе инструментов NVIDIA для запуска контейнеров с ускорением на GPU. В случае эксплуатации эти ошибки могут позволить злоумышленникам получить доступ к конфиденциальным данным, украсть фирменные модели ИИ или создать сбои в работе.

В сентябре прошлого года NVIDIA выпустила обновление для исправления уязвимости CVE-2024-0132 , связанной с временем проверки и использования (TOCTOU), которая получила рейтинг CVSS 9 из 10 в NVIDIA Container Toolkit.

Однако после более тщательного изучения исследователи из Trend Micro и Wiz по отдельности обнаружили вторичную уязвимость, которую исправление не устраняло, поэтому некоторые пользователи, даже на пропатченных системах, все равно подвергались риску.

Исследователи отметили то, что они считали этим «неполным» исправлением для CVE-2024-0132 в недавнем сообщении в блоге , и написали, что связанная ошибка допускает отказ в обслуживании (DoS). Это могло вызвать путаницу среди тех, кто считал, что их системы защищены после применения первоначального исправления, говорят эксперты по безопасности.

Контакты, администрация и авторы