Falhas do NVIDIA DGX Spark permitem que invasores executem códigos maliciosos e lancem ataques DoS – Against Invaders

Falhas do NVIDIA DGX Spark permitem que invasores executem códigos maliciosos e lancem ataques DoS - Against Invaders

A NVIDIA lançou atualizações de segurança para solucionar quatorze vulnerabilidades críticas em seu sistema DGX Spark.

Essas falhas podem permitir que invasores executem códigos maliciosos, roubem informações confidenciaise lançar ataques de negação de serviço que travam o sistema.

As vulnerabilidades afetam todas as versões do sistema operacional NVIDIA DGX antes da última atualização OTA0.

ID do CVE Gravidade Pontuação CVSS Impacto potencial
CVE-2025-33187 Crítico 9.3 Execução de código, escalonamento de privilégios, adulteração de dados, negação de serviço
CVE-2025-33188 Alto 8,0 Divulgação de informações, adulteração de dados, negação de serviço
CVE-2025-33189 Alto 7,8 Execução de código, escalonamento de privilégios, negação de serviço
CVE-2025-33190 Médio 6.7 Execução de código, escalonamento de privilégios, negação de serviço
CVE-2025-33191 Médio 5.7 Negação de serviço
CVE-2025-33192 Médio 5.7 Execução de código, negação de serviço, divulgação de informações
CVE-2025-33193 Médio 5.7 Execução de código, negação de serviço, divulgação de informações
CVE-2025-33194 Médio 5.7 Divulgação de informações, negação de serviço
CVE-2025-33195 Médio 4.4 Adulteração de dados, negação de serviço, escalonamento de privilégios
CVE-2025-33196 Médio 4.4 Divulgação de informações
CVE-2025-33197 Médio 4.3 Execução de código, negação de serviço
CVE-2025-33198 Baixo 3.3 Divulgação de informações
CVE-2025-33199 Baixo 3.2 Adulteração de dados
CVE-2025-33200 Baixo 2.3 Divulgação de informações

A vulnerabilidade mais séria, CVE-2025-33187, tem uma classificação de gravidade crítica e uma pontuação CVSS de 9,3 em 10.

Esta falha no componente SROOT permite que invasores com acesso privilegiado para contornar as proteções do sistema.

A exploração bem-sucedida pode resultar na execução completa do código, concedendo aos invasores controle sobre o dispositivo DGX Spark.

A vulnerabilidade também permite que os invasores aumentem seus privilégios, adulterem dados e interrompam a disponibilidade do serviço.

Uma segunda preocupação crítica é a CVE-2025-33188, que afeta os controles de recursos de hardware.

Os invasores que exploram esta vulnerabilidade podem adulterar as configurações físicas de hardware do sistema DGX Spark, causando potencialmente vazamentos de informações, corrupção de dadose desligamentos do sistema.

Essa falha pontua 8,0 na escala de gravidade, colocando-a na categoria Alta.
Várias vulnerabilidades adicionais envolvem problemas relacionados à memória no firmware SROOT.

CVE-2025-33189 e CVE-2025-33190 descrevem falhas de gravação fora do limite que podem permitir que invasores gravem dados fora de áreas seguras de memória, levando à execução de código e ao comprometimento do sistema.

Ambas as vulnerabilidades permitem o escalonamento de privilégios, o que significa que os invasores podem obter acesso de nível superior ao sistema.

Outras vulnerabilidades notáveis ​​incluem problemas de leitura arbitrária de memória, desreferências de ponteiro NULL e falhas de validação de integridade.

Embora alguns deles tenham pontuações de gravidade mais baixas, eles ainda podem ser combinados com outras explorações ou usados ​​como trampolins em ataques em vários estágios.

CVE-2025-33192, por exemplo, permite que invasores leiam locais arbitrários de memória, expondo potencialmente dados confidenciais, como chaves de criptografia ou credenciais de autenticação.

As vulnerabilidades foram descobertas internamente pela equipe de pesquisa de segurança ofensiva da NVIDIA, sugerindo que os problemas foram identificados antes da divulgação pública.

Esta descoberta destaca a importância de testes robustos de segurança interna para componentes de hardware e firmware.

NVIDIA recomenda fortemente que todos os usuários do DGX Spark baixem e instalem imediatamente a atualização OTA0 da página oficial do produto NVIDIA DGX.

Este patch aborda todas as quatorze vulnerabilidades em uma única atualização unificada. As organizações que utilizam sistemas DGX Spark devem priorizar esta atualização para evitar potencial exploração por agentes de ameaças.

As vulnerabilidades sublinham os crescentes desafios de segurança na IA e na infraestrutura de aprendizagem automática.

À medida que esses sistemas se tornam mais críticos para as operações comerciais, a proteção de seus componentes de firmware e hardware torna-se cada vez mais importante.

Os usuários também devem ativar qualquer monitoramento de segurança e controles de acesso disponíveis para limitar a exposição até que os patches possam ser aplicados.

Para obter informações contínuas de segurança, os usuários da NVIDIA podem assinar notificações de boletins de segurança por meio da página NVIDIA Product Security e relatar quaisquer suspeitas de vulnerabilidade por meio dos canais oficiais.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.