HackerNews 编译，转载请注明出处： Wiz研究团队在NVIDIA Triton推理服务器中发现一系列关键漏洞，该平台是用于大规模运行人工智能模型的开源解决方案。当这些漏洞被串联利用时，远程未授权攻击者可能完全控制服务器，实现远程代码执行（RCE）。 此攻击链始于服务器的Python后端，最初的小规模信息泄露会逐步升级为完整的系统入侵。这对使用Triton进行AI/ML的企业构成重大风险，成功攻击可能导致宝贵AI模型被盗、敏感数据泄露、AI模型响应被篡改，并为攻击者提供深入网络的立足点。...

HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）的安全研究人员指出，Nvidia针对Nvidia容器工具包中一个关键漏洞的补丁存在问题，警告称这种不完整的缓解措施使企业仍然容易受到容器逃逸攻击。 该漏洞被标记为CVE-2024-0132，CVSS评分为9/10，去年9月作为高优先级问题进行了修补，但现在Trend Micro表示，该补丁是“不完整的”，为黑客留下了可乘之机，使他们能够在受影响的系统上执行任意命令、窃取敏感数据或提升权限。...

HackerNews 编译，转载请注明出处： 网络安全研究人员详细描述了NVIDIA容器工具包中一个之前已修复的安全漏洞的不完整修复情况。如果该漏洞被成功利用，可能会使敏感数据面临风险。 原始漏洞CVE-2024-0132（CVSS评分：9.0）是一个时间检查到时间使用（TOCTOU）漏洞，可能导致容器逃逸攻击，并允许未经授权访问底层主机。...

HackerNews 编译，转载请注明出处： 英伟达（NVIDIA）发布了一项安全更新，以解决影响其 Jetson AGX Orin 系列和 IGX Orin 设备的高严重性漏洞，该漏洞编号为 CVE-2024-0148，可能允许具有物理访问权限的攻击者执行恶意代码。 安全公告指出，该漏洞存在于 UEFI 固件的 RCM 启动模式中，可能允许具有物理访问权限的未授权攻击者加载不受信任的代码。如果被利用，这可能导致代码执行、权限提升、数据篡改、拒绝服务和信息泄露。...

英伟达™（NVIDIA®）近日发布固件更新，以解决影响其 UFM Enterprise、UFM Appliance 和 UFM CyberAI 产品的高严重性漏洞。该漏洞被识别为 CVE-2024-0130，可允许攻击者获得升级权限、篡改数据、拒绝服务并披露敏感信息。 该漏洞源于一个不恰当的身份验证问题，可通过以太网管理接口发送畸形请求加以利用。成功利用漏洞后，攻击者可在未经授权的情况下访问和控制受影响的系统。...

NVIDIA发布了针对各种显卡型号的安全更新，解决了其GPU驱动程序中的四个高危漏洞和六个中危漏洞。该安全更新修复了可能导致拒绝服务、信息泄露、特权提升、代码执行等的漏洞。这些更新已适用于Tesla、RTX/Quadro、NVS、Studio 和 GeForce 软件产品， 本月修复的四个高严重性缺陷是：

CVE-2022-28181（CVSS v3 得分：8.5） - 由通过网络发送的特制Shader导致的内核模式层越界写入，可能导致代码执行、拒绝服务、权限升级、信息泄露和数据篡改。
CVE-2022-28182（CVSS v3 得分：8....

利用窃取过来的 NVIDIA 代码，威胁者利用签名证书来签署恶意软件，使其看起来值得信赖，并允许在 Windows 中加载恶意驱动程序。本周，NVIDIA 公司证实，他们遭受了一次网络攻击，使威胁者得以窃取员工的证书和专有数据。 对本次泄露事件负责的勒索集团 Lapsus$ 表示，他们已经窃取了 1TB 的数据，并在 NVIDIA 拒绝与他们谈判后开始在网上泄露这些数据。泄漏的数据包括 2 份被盗的代码签名证书，这些证书是 NVIDIA 开发人员用来签署其驱动程序和可执行文件的。...

前不久NVIDIA遭遇黑客勒索攻击，现在这些黑客来狠的了，以100万美元的价格出售LHR技术源码，可用于破解RTX 30显卡挖矿限制。对于黑客攻击，尽管NVIDIA表示影响不大，但是黑客盗窃的1TB数据依然是个巨大威胁，黑客组织LAPSUS$也据此威胁NVIDIA，提出了多个让人费解的要求， 这么高大上的要求让人以为黑客这是在做好事一样，只不过NVIDIA没可能满足这个要求。 之前黑客组织表示，如果NVIDIA不开源驱动，他们将在本周五放出重磅炸弹，公开近几年NVIDIA GPU的所有完整芯片设计、图形技术、计算技术资料，包括尚未正式发布的RTX 3090 Ti，以及未来规划。...

近日，NVIDIA遭遇南美黑客组织LAPSU$的勒索软件攻击，一度导致电子邮件、开发工具中断，不过官方称业务正常没受影响，还对黑客发动了反击，黑掉了对方的机器。 但还没完，黑客组织今天放出消息称，他们黑进NVIDIA系统长达一周左右，NVIDIA虽然发动了反攻，但他们依然获得了大约1TB的数据，包括产品设计蓝图、驱动、固件、文档、工具、SDK开发包等等。 他们正在等待NVIDIA与之联系，目的自然是让NVIDIA出价买回去这些机密数据。...