NVIDIA發(fā)布了GPU顯示驅(qū)動(dòng)程序安全更新����,以修復(fù)五個(gè)高和中等嚴(yán)重性漏洞���,這些漏洞可能導(dǎo)致本地代碼執(zhí)行�����,權(quán)限升級(jí)以及易受攻擊的Windows計(jì)算機(jī)上的拒絕服務(wù)�。
NVIDIA今天修補(bǔ)的所有安全漏洞都需要本地用戶訪問(wèn),并且不能被遠(yuǎn)程利用��,潛在的攻擊者不得不依賴用戶交互來(lái)執(zhí)行旨在利用未修補(bǔ)的顯示驅(qū)動(dòng)程序的機(jī)器上的一個(gè)固定錯(cuò)誤的惡意代碼���。
NVIDIA建議用戶通過(guò)應(yīng)用NVIDIA驅(qū)動(dòng)程序下載 --https://www.nvidia.com/Download/index.aspx頁(yè)面上提供的安全更新來(lái)更新其GeForce��,Quadro����,NVS和Tesla Windows GPU顯示驅(qū)動(dòng) 程序��。
嚴(yán)重等級(jí)高的安全問(wèn)題
問(wèn)題來(lái)自于CVSS V3基礎(chǔ)分?jǐn)?shù)從5.2到8.8��,其中三個(gè)已經(jīng)從NVIDIA接受了高度嚴(yán)重性風(fēng)險(xiǎn)評(píng)估�,而另外兩個(gè)已經(jīng)被分配了中等風(fēng)險(xiǎn)基礎(chǔ)分?jǐn)?shù),所有這些都影響了Windows機(jī)器���。
通過(guò)濫用這些GPU顯示驅(qū)動(dòng)程序漏洞��,潛在攻擊者可以升級(jí)其權(quán)限�����,從而可以獲得超過(guò)最初由受感染系統(tǒng)授予的默認(rèn)權(quán)限的權(quán)限����。
這些漏洞還允許它們通過(guò)觸發(fā)拒絕服務(wù)狀態(tài)或在受感染的Windows系統(tǒng)上本地執(zhí)行惡意代碼來(lái)使易受攻擊的計(jì)算機(jī)暫時(shí)無(wú)法使用。
下面列出了NVIDIA作為2019年8月安全更新的一部分修復(fù)的軟件安全問(wèn)題���,以及公司為每個(gè)安全更新分配的完整描述和CVSS V3基本分?jǐn)?shù)。
| CVE | 描述 | 基本分?jǐn)?shù) |
|---|
| CVE-2019-5683 | NVIDIA Windows GPU顯示驅(qū)動(dòng)程序包含用戶模式視頻驅(qū)動(dòng)程序跟蹤記錄器組件中的漏洞����。當(dāng)攻擊者可以訪問(wèn)系統(tǒng)并創(chuàng)建硬鏈接時(shí),該軟件不會(huì)檢查硬鏈接攻擊���。此行為可能導(dǎo)致代碼執(zhí)行�����,拒絕服務(wù)或特權(quán)升級(jí)���。https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5683 | 8.8 |
| CVE-2019-5684 | NVIDIA Windows GPU顯示驅(qū)動(dòng)程序包含DirectX驅(qū)動(dòng)程序中的漏洞,其中特制的著色器可能導(dǎo)致輸入紋理數(shù)組的越界訪問(wèn)��,這可能導(dǎo)致拒絕服務(wù)或代碼執(zhí)行。http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5684 | 7.8 |
| CVE-2019-5685 | NVIDIA Windows GPU顯示驅(qū)動(dòng)程序包含DirectX驅(qū)動(dòng)程序中的漏洞�����,其中特制的著色器可能導(dǎo)致對(duì)著色器本地臨時(shí)數(shù)組的越界訪問(wèn)�,這可能導(dǎo)致拒絕服務(wù)或代碼執(zhí)行。http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5685 | 7.8 |
| CVE-2019-5686 | NVIDIA Windows GPU顯示驅(qū)動(dòng)程序在DxgkDdiEscape的內(nèi)核模式層(nvlddmkm.sys)處理程序中包含一個(gè)漏洞��,其中軟件使用API函數(shù)或數(shù)據(jù)結(jié)構(gòu)�,其方式依賴于并不總是保證有效的屬性,這可能是導(dǎo)致拒絕服務(wù)��。http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5686 | 5.6 |
| CVE-2019-5687 | NVIDIA Windows GPU顯示驅(qū)動(dòng)程序在DxgkDdiEscape的內(nèi)核模式層(nvlddmkm.sys)處理程序中包含一個(gè)漏洞���,其中對(duì)對(duì)象的默認(rèn)權(quán)限的錯(cuò)誤使用將其暴露給非預(yù)期的actor�����,這可能導(dǎo)致信息泄露或拒絕服務(wù)����。http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5687 | 5.2 |
根據(jù)NVIDIA今天發(fā)布的安全公告�,“風(fēng)險(xiǎn)評(píng)估基于各種已安裝系統(tǒng)的平均風(fēng)險(xiǎn),可能并不代表您本地安裝的真正風(fēng)險(xiǎn).NVIDIA建議咨詢安全或IT專(zhuān)業(yè)人員以評(píng)估風(fēng)險(xiǎn)根據(jù)您的具體配置�������!
Cisco Talos的Piotr Bania報(bào)道了其中兩個(gè)問(wèn)題,即跟蹤C(jī)VE-2019-5684和CVE-2019-5685的問(wèn)題��,可能導(dǎo)致拒絕服務(wù)或代碼執(zhí)行���。
今天的 NVIDIA GPU顯示驅(qū)動(dòng)程序 - 2019年8月安全公告 還列出了受五個(gè)修補(bǔ)安全問(wèn)題影響的驅(qū)動(dòng)程序版本:
| 軟件產(chǎn)品 | 操作系統(tǒng) | 受影響的版本 | 更新后的版本 |
|---|
| 的GeForce | 視窗 | 所有R430版本在431.60之前 | 431.60 |
| Quadro�,NVS | 視窗 | 所有R430版本在431.70之前 | 431.70 |
| 所有R418版本在426.00之前 | 426.00 |
| 所有R400版本 | 可在2019年8月19日那一周使用 |
| 所有R390版本在392.56之前 | 392.56 |
| 特斯拉 | 視窗 | 所有R418版本 | 可在2019年8月12日那一周使用 |
NVIDIA表示����,一些不會(huì)手動(dòng)修補(bǔ)漏洞的用戶也可能會(huì)收到包含計(jì)算機(jī)硬件供應(yīng)商安全更新的Windows驅(qū)動(dòng)程序431.23,425.85或412.39版本���。
“上表可能不是所有受影響版本或分支版本的綜合列表�,可能會(huì)隨著更多信息的更新而更新�����,”NVIDIA補(bǔ)充道�。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
