Nvidia图形驱动程序中发现的几个缺陷可能导致拒绝服务,远程执行代码和其他恶意攻击。

游戏Nvidia GPU图形驱动程序

Nvidia在其图形驱动程序中发布了针对高严重性漏洞的补丁程序,本地攻击者可以利用这些补丁程序来发起拒绝服务(DoS)或远程代码执行攻击。

Nvidia的图形处理单元(GPU)显示驱动器用于发烧友游戏的设备;它是使设备的操作系统和程序能够使用其高级图形硬件的软件组件。受影响最大的是用于Windows的GeForce,Quadro和Tesla品牌的GPU中使用的显示驱动程序。

最严重的缺陷存在于图形驱动程序的控制面板组件中,这是一个实用程序,可帮助用户监视和调整其图形适配器的设置。根据Nvidia在周五发布的安全公告中所说,具有本地系统访问权限的攻击者可能破坏控制面板中的系统文件,从而导致DoS或特权升级。

该漏洞(CVE‑2020‑5957)在CVSS等级中的10.0中排名8.4,使其具有很高的严重性。

图形驱动程序的控制面板(CVE‑2020‑5958)中存在另一个中等严重性漏洞。具有本地系统访问权限的攻击者可以通过在控制面板中植入恶意的动态链接库(DLL)文件来利用此漏洞,这可能导致代码执行,DoS或信息泄露。

对于图形驱动程序中的两个缺陷,下面列出了受影响的版本和后续的修补版本。修补程序版本现已可用,但适用于Windows的Tesla易受攻击的R440版本的修补程序除外;修复程序将在3月9日这一周提供。

Nvidia安全漏洞

Nvidia还披露了Virtual GPU(vGPU)管理器中的多个漏洞,该工具使多个虚拟机可以同时直接访问单个物理GPU,同时还使用部署在非虚拟化操作系统上的Nvidia图形驱动程序。

Nvidia表示,这些漏洞中最严重的漏洞存在于vGPU插件中,“在其中错误地验证了输入索引值,这可能导致拒绝服务。” 漏洞(CVE‑2020‑5959)在CVSS级别上占10.0的7.8,具有很高的严重性。

vGPU中的另一个中等严重性漏洞(CVE-2020-5960)源自该工具的内核模式(nvidia.ko),该模式容易受到空指针取消引用错误的影响。当程序尝试使用空指针读取或写入内存时,会发生此类错误,从而导致分段错误。英伟达表示,该漏洞可能导致拒绝服务。

Nvidia还针对访客操作系统在其vGPU图形驱动程序中解决了一个中等严重性漏洞。此驱动程序中的“错误路径上的错误资源清理”会影响来宾虚拟机,从而导致拒绝服务。这些vGPU软件缺陷会影响各种版本(可在此处找到);英伟达表示,更新版本将在3月发布。

它只是影响其游戏热情客户群的最新Nvidia安全补丁。Nvidia去年发布了针对两种流行游戏产品中的高严重性漏洞的修复程序,其中包括用于Windows的图形驱动程序和GeForce Experience。可以利用这些缺陷发起一系列恶意攻击-从DoS到特权升级。同样在2019年,英伟达在其GeForce Experience软件中修复了另一个高严重性漏洞,如果被利用,该漏洞可能导致产品的代码执行或DoS。

0 0 vote
Article Rating

未经允许不得转载:x-sec » Nvidia图形驱动程序中发现的几个缺陷可能导致拒绝服务,远程执行代码和其他恶意攻击。

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x