英伟达漏洞致 AI 与机器人平台面临远程代码执行和数据泄露风险

英伟达已针对其Jetson Linux和IGX平台发布安全更新，修复了两个可能导致系统遭受代码执行、数据篡改、服务拒绝和信息泄露的漏洞。这两个编号为CVE-2025-23270和CVE-2025-23269的漏洞影响广泛用于人工智能、机器人和嵌入式边缘计算的Jetson Orin及Xavier系列产品。

高危UEFI管理漏洞

其中更严重的CVE-2025-23270漏洞CVSS基础评分为7.1分，影响Jetson Linux的UEFI（统一可扩展固件接口）管理模式。该漏洞允许本地低权限攻击者利用侧信道缺陷，可能导致：

任意代码执行关键数据篡改系统服务拒绝敏感信息泄露

英伟达警告称："成功利用此漏洞可能导致代码执行、数据篡改、服务拒绝和信息泄露"。该漏洞源于UEFI隔离环境中对敏感操作的不安全处理，推测执行和共享硬件状态可能无意间跨越权限边界泄露信息。

内核级信息泄露风险

第二个漏洞CVE-2025-23269是CVSS评分4.7的内核漏洞，允许具备本地低权限的攻击者通过共享微架构预测器利用瞬态执行行为。英伟达表示："成功利用此漏洞可能导致信息泄露"。虽然比CVE-2025-23270更难利用，但这个内核级问题可能成为旨在提升权限或从内存提取敏感信息的链式攻击的跳板。

受影响产品及修复方案

这些漏洞影响多款英伟达嵌入式系统，特别是使用Jetson Linux和IGX OS的设备。已发布以下补丁：

产品系列

受影响版本

已修复版本

Jetson Orin系列

JP5.x < 35.6.2, JP6.x < 36.4.4

35.6.2 / 36.4.4

Jetson Xavier系列

JP5.x < 35.6.2

35.6.2

IGX Orin

IGX OS < 1.1.2

IGX 1.1.2

使用Jetson平台开发机器人、自动驾驶汽车、边缘AI或工业自动化系统的管理员和开发人员应立即更新系统。