NVIDIA corrige 14 falhas no DGX Spark

A NVIDIA lançou uma atualização urgente (DGX OS OTA0) para as estações de trabalho de IA DGX Spark após identificar 14 vulnerabilidades de firmware que podem permitir execução de código malicioso, negação de serviço, roubo de dados e escalada de privilégios.​
A falha mais crítica, CVE-2025-33187 (CVSS 9,3), afeta todos os dispositivos DGX Spark em versões anteriores à OTA0 e permite que um invasor tenha acesso privilegiado burle proteções do SROOT e acesse áreas protegidas do system-on-chip.​

Como vulnerabilidades residem em múltiplos componentes de firmware do DGX Spark GB10, incluindo SROOT, OSROOT e controles de recursos de hardware, expondo a estação de IA a riscos sérios de integridade e confidencialidade.​
Em conjunto, os 14 CVEs (CVE-2025-33187 a CVE-2025-33200) cobrem problemas de controle de acesso (CWE-269), estouro de buffer (CWE-787), validação de integridade (CWE-354) e falhas de divulgação de informações (CWE-226), entre outros, com impactos que variação de DoS à execução de código e adulteração de dados.​

De acordo com a equipe de Offensive Security da NVIDIA, um atacante com acesso local (ou, em alguns casos, sem privilégios elevados) pode abusar dessas falhas para modificar controles de hardware, contornar proteções de firmware e comprometer áreas críticas do SoC.​
Em ambientes de IA, isso pode afetar diretamente modelos sensíveis, dados de treino e cargas de trabalho de aprendizado de máquina executados nos equipamentos.​

• Atualizar imediatamente todos os DGX Spark para o DGX OS OTA0, que corrige simultaneamente as 14 vulnerabilidades.​
• Restringir ao máximo o acesso físico e de rede local às máquinas DGX Spark, permitindo apenas pessoal e endpoints confiáveis.​
• Reforçar políticas de controle de acesso e monitorar atividades de usuários locais em busca de tentativa de exploração ou comportamentos anômalos.​
• Assine os boletins de segurança da NVIDIA e verifique periodicamente os avisos na página oficial de Segurança do Produto.​