NVIDIA 修复8个 GPU 显卡驱动安全问题
编译:360代码卫士团队
NVIDIA (英伟达)发布安全更新,修复了8个 NVIDIA GPU 显卡驱动软件中的安全问题,它们可导致 Windows 和 Linux 设备出现代码执行、权限提升、拒绝服务或信息泄漏等问题。
虽然所有的这些安全缺陷均需本地用户访问权限而无法遭远程利用,但攻击者可远程利用它们通过多种方式在运行易受攻击的 NVIDIA GPU 显卡驱动的系统上植入恶意工具。
这些问题的 CVSS V3 基础分为2.2至8.8 分不等,其中5个缺陷的 NVIDIA 风险评估为8.8分(它们均影响 NVIDIA Windows GPU 显卡驱动),而只有唯一一个同时影响 Windows 和 Linux 机器的缺陷的基础分是2.2分。
运行未修复 NVIDIA 图形驱动的系统遭暴露
潜在的攻击者能够通过触发可导致拒绝服务状态的 CVE 使易受攻击的机器不可用,而通过利用未修复的代码执行漏洞,攻击者能够在遭攻陷的机器上运行命令或代码。
准攻击者还能通过利用导致信息泄漏的问题,收集运行过时的 NVIDIA GPU显卡驱动版本的系统的易受攻击信息。另一方面,提升多个 CVE 缺陷的权限导致攻击者有可能提升自己的权限,获取由系统授予的最初权限以外的权限。
NVIDIA 在2019年2月安全更新中修复的软件缺陷如下所示:
CVE | 说明 | CVSS V3 基础分 |
CVE-2019-5665 | NVIDIA Windows GPU 显卡驱动中包含 3D 视觉插件中的一个漏洞,立体声服务软件在打开文件时并不检查硬链接。此行为可导致代码执行、拒绝服务或权限提升。 | 8.8 |
CVE-2019-5666 | NVIDIA Windows GPU 显卡驱动包含内核模式层 (nvlddmkm.sys) 创建上下文命令 DDI DxgkDdiCreateContext 中的一个漏洞。产品在计算或使用数组索引时使用不受信任的输入,但产品未能或错误地将索引验证为确保索引引用数组中的有效位置,可导致拒绝服务或权限提升后果。 | 8.8 |
CVE-2019-5667 | NVIDIA Windows GPU显卡驱动中包含一个位于DxgkDdiSetRootPageTable的内核模式层(nvlddmkm.sys)处理程序中的一个漏洞,应用程序取消引用它期望有效的但为NULL的指针,可能导致代码执行、拒绝服务或权限提升。 | 8.8 |
CVE-2019-5668 | NVIDIA Windows GPU显卡驱动包含一个位于DxgkDdiSubmitCommandVirtual的内核模式层(nvlddmkm.sys)处理程序的一个漏洞,其中应用程序取消引用它期望有效但为NULL的指针,或导致拒绝服务或权限提升。 | 8.8 |
CVE-2019-5669 | NVIDIA Windows GPU显卡驱动包含位于DxgkDdiEscape的内核模式层处理程序中的一个漏洞,软件使用顺序操作来读取或写入缓冲区,但它使用不正确的长度值,导致访问外部的内存缓冲区的边界,从而可能导致拒绝服务或权限提升。 | 8.8 |
CVE-2019-5670 | NVIDIA Windows GPU显卡驱动中包含位于DxgkDdiEscape的内核模式层处理程序的一个漏洞,软件使用顺序操作来读取或写入缓冲区,但它使用不正确的长度值,导致它访问外部的内存缓冲区的边界可能导致拒绝服务、权限提升、代码执行或信息泄漏。 | 7.8 |
CVE-2019-5671 | NVIDIA Windows GPU显卡驱动中包含位于DxgkDdiEscape的内核模式层(nvlddmkm.sys)处理程序的一个漏洞,软件在其有效生命周期结束后不会释放资源,从而可能导致拒绝服务。 | 6.5 |
CVE-2019-6260 | NVIDIA图形驱动程序中包含一个漏洞,可能允许通过GPU性能计数器公开的侧通道访问GPU上处理的应用程序数据。利用该漏洞要求获得本地用户访问权限。该漏洞不是网络或远程攻击向量。 | 2.2 |
NVIDIA 表示,“NVIDIA 风险评估基于多种安装系统的平均风险,且可能并不代表本地安装的真正风险。NVIDIA 建议咨询安全或 IT 专业人员评估具体配置的风险。”
NVIDIA GPU 显卡驱动——2019年2月安全公告中还列出了全部受这些安全问题影响的软件产品,这些漏洞已于2019年2月的安全更新中修复。
建议所有用户尽快应用 NVIDIA 驱动下载页面中的可用安全更新升级驱动。
虽然安装软件更新足以修复上表中提及的安全问题,但CVE-2018-6260 需要一些额外的步骤:
Windows 图形驱动
有关所需的其它步骤,请参阅NVIDIA控制面板帮助的开发人员 - >管理GPU性能计数器部分。如果您是企业客户,请参阅产品发行说明中的说明。
Linux 图形驱动
请参阅 Linux 驱动 Readme 中“限制对 GPU 性能计数器的访问权限”部分。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/nvidia-patches-security-issues-in-gpu-display-driver-for-windows-linux/
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。