Nvidia коригира 29 грешки в драйвера на GPU • Регистър

Nvidia поправи над двадесет пропуска в сигурността на драйвера за дисплей на GPU, най-сериозният от които може да позволи на непривилегирован потребител да променя файлове, след това да ескалира привилегии, да изпълнява код, да подправя или краде данни или дори да поеме вашето устройство.

Общо производителят на чипове е коригирал 29 уязвимости, засягащи Windows и Linux продукти, включително 10 критични.

Nvidia не публикува много техническа информация за пропуските, за да се увери, че клиентите могат да поправят своите системи, преди злоупотребите да открият, че използват тези уязвимости – надяваме се – но ето какво знаем за проблемите със сигурността.

Най-сериозният клъстер, проследен като CVE-2022-34669, засяга версията на Windows на драйвера на дисплея на GPU и има CVSS резултат от 8,8.

Според Nvidia тази уязвимост може да позволи на „обикновен, непривилегирован потребител [to] Достъп или модифициране на системни файлове или други файлове, които са критични за приложението. Успешното използване може да доведе до изпълнение на код, отказ от услуга, ескалация на привилегии, разкриване на информация или манипулиране на данни. посочен.

Друг сериозен недостатък (CVE-2022-34671) също засяга продукта на Windows и има оценка от 8,5 CVSS в слоя потребителски режим на драйвера на графичния процесор. Това може да позволи на непривилегирован потребител да предизвика запис извън границите, което също води до изпълнение на код, отказ от услуга, ескалация на привилегии, разкриване на информация или манипулиране на данни, според Nvidia.

Други четирима имаха резултат от CVSS 7,8. Те са:

CVE-2022-34672, уязвимост в контролния панел за Windows, която може да позволи на неоторизиран потребител да получи привилегии, да чете поверителна информация и да изпълнява команди.

CVE-2022-34670, намиращ се в манипулатора на слоя в режим на ядрото на драйвера за изобразяване на GPU на Linux. Бюлетинът за сигурност предупреждава, че “средният непривилегирован потребител може да причини грешки при отрязване, когато конвертирането на примитив в примитив с по-малък размер ще доведе до загуба на данни по време на преобразуването, което може да доведе до отказ на услуга или разкриване на информация.”

CVE-2022-42260, също във версията на Linux на драйвера за дисплей на GPU. Това се дължи на неправилно запазване на разрешенията в конфигурационния файл на D-Bus. Производителят на чипове каза, че неупълномощен потребител във виртуална машина за гости може да използва този бъг на защитени D-Bus крайни точки, което води до изпълнение на код, отказ на услуга, ескалация на привилегии, разкриване на информация или манипулиране на данни.

И накрая, CVE-2022-42261, пропуск в софтуера за управление на виртуален GPU, не валидира правилно входния индекс, причинявайки препълване на буфера, причинявайки подправяне на данни, разкриване на информация или отказ на услуга.

29-те грешки, описани подробно в бюлетина за сигурността, засягат няколко различни софтуерни продукта на Nvidia: GeForce, Studio, Nvidia RTX, Quadro, NVS и Tesla, работещи на Windows системи. Плюс GeForce, Nvidia RTX, Quadro, NVS и Tesla на Linux машини.

Nvidia не отговори веднага дневникПопитайте дали знае за тези уязвимости, които се използват в природата, но ние ще актуализираме тази история, когато научим повече. ®