NVIDIA今天(2020年2月28日)發(fā)布了GPU顯示驅(qū)動程序安全更新���,該更新修復了嚴重性和中等嚴重性漏洞��,這些漏洞可能導致代碼執(zhí)行�,特權(quán)的本地升級��,信息泄露以及未打補丁的Windows計算機上的服務被拒絕�。
NVIDIA今天修補的所有GPU顯示驅(qū)動程序安全漏洞都需要本地用戶訪問,這意味著攻擊者將無法遠程利用它們�����,而是需要首先在系統(tǒng)上立足才能執(zhí)行針對固定錯誤的漏洞利用代碼。
這些安全漏洞要求潛在的攻擊者具有本地用戶訪問權(quán)限��,但也可以通過運行于易受攻擊的NVIDIA GPU顯示驅(qū)動程序的系統(tǒng)上遠程放置的惡意工具來濫用它們����。
如今的安全更新還修復了用于訪客操作系統(tǒng)的NVIDIA Virtual GPU Manager和NVIDIA vGPU圖形驅(qū)動程序中的一個高嚴重性漏洞和兩個中等嚴重性漏洞,這些漏洞在觸發(fā)時可能導致拒絕服務狀態(tài)�。
Windows驅(qū)動程序安全性問題
這兩個GPU顯示驅(qū)動程序問題的CVSS V3基本得分在6.7到8.4之間,并且會影響Windows計算機�����,而三個NVIDIA vGPU軟件錯誤的嚴重性等級在5.5到7.8之間�。
通過濫用這些安全問題�,攻擊者可以輕松地升級其特權(quán),而無需用戶交互來獲得高于受感染系統(tǒng)最初授予的權(quán)限的權(quán)限��。
這些錯誤還可能通過觸發(fā)拒絕服務狀態(tài)���,執(zhí)行惡意代碼或訪問目標系統(tǒng)上的敏感信息���,使未打補丁的計算機暫時無法使用。
下表列出了NVIDIA在2020年2月安全更新中修復的軟件安全問題�,并附有完整說明和CVSS V3基本評分。
| NVIDIA GPU顯示驅(qū)動程序的CVE |
| CVE | 描述 | 基本分數(shù) |
| CVE‑2020‑5957 | NVIDIA Windows GPU顯示驅(qū)動程序在NVIDIA控制面板組件中包含一個漏洞,具有本地系統(tǒng)訪問權(quán)限的攻擊者可能會破壞系統(tǒng)文件�����,這可能導致拒絕服務或特權(quán)升級���。 | 8.4 |
| CVE‑2020‑5958 | NVIDIA Windows GPU顯示驅(qū)動程序在NVIDIA控制面板組件中包含一個漏洞����,具有本地系統(tǒng)訪問權(quán)限的攻擊者可以在其中植入惡意DLL文件�,這可能導致代碼執(zhí)行,拒絕服務或信息泄露�����。 | 6.7 |
| NVIDIA vGPU軟件的CVE |
| CVE | 描述 | 基本分數(shù) |
| CVE‑2020‑5959 | NVIDIA Virtual GPU Manager在vGPU插件中包含一個漏洞�����,其中輸入索引值的驗證不正確����,這可能導致拒絕服務。 | 7.8 |
| CVE‑2020‑5960 | NVIDIA Virtual GPU Manager在內(nèi)核模塊(nvidia.ko)中包含一個漏洞���,在該漏洞中可能會發(fā)生空指針取消引用�����,這可能導致拒絕服務����。 | 6.5 |
| CVE‑2020‑5961 | 用于來賓OS的NVIDIA vGPU圖形驅(qū)動程序包含一個漏洞,其中在故障路徑上清除不正確的資源會影響來賓VM����,從而導致拒絕服務。 | 5.5 |
根據(jù)NVIDIA今天發(fā)布的安全公告����,“風險評估是基于各種已安裝系統(tǒng)的平均風險�,可能并不代表本地安裝的真正風險����!
但是,正如該通報所補充的那樣���,“ NVIDIA建議咨詢安全或IT專業(yè)人員�����,以評估特定配置的風險������!
奇虎360核心安全部門的Peng Zhiniang Peng和李雪峰報告了嚴重的CVE‑2020‑5957嚴重漏洞,該漏洞影響NVIDIA Windows GPU顯示驅(qū)動程序����,可能導致拒絕服務或特權(quán)升級。
受影響的GPU驅(qū)動程序版本
今日的NVIDIA GPU顯示驅(qū)動程序-2019年2月的安全公告還列出了受影響的和修補的GPU顯示驅(qū)動程序版本:
| CVE | 軟件產(chǎn)品 | 操作系統(tǒng) | 受影響的版本 | 更新版本 |
CVE‑2020‑5957
CVE‑2020‑5958 | GeForce | 視窗 | 442.50之前的所有R440版本 | 442.5 |
| NVS Quadro | 視窗 | 442.50之前的所有R440版本 | 442.5 |
| 432.28之前的所有R430版本 | 432.28 |
| 426.50之前的所有R418版本 | 426.5 |
| 所有R390版本之前的392.59 | 392.59 |
| 特斯拉 | 視窗 | 所有R440版本 | 于2020年3月9日這一周可用 |
| 426.50之前的所有R418版本 | 426.5 |
NVIDIA公司表示���,一些不會手動修復缺陷的用戶也可能會從其計算機硬件供應商處獲得Windows GPU顯示驅(qū)動程序442.05和436.73版本���,其中包含當今的安全更新。
NVIDIA補充說:“上表可能不是所有受影響版本或分支版本的完整列表���,并且可能會隨著更多信息的更新而更新�����!
“支持這些產(chǎn)品的早期軟件分支版本也會受到影響����。如果您使用的是較早的分支版本��,請升級到最新的分支版本�。”
NVIDIA建議所有客戶通過應用NVIDIA驅(qū)動程序下載頁面上可用的安全更新來修補他們的GeForce���,Quadro���,NVS和Tesla Windows GPU顯示驅(qū)動程序。
企業(yè)NVIDIA vGPU軟件用戶必須登錄NVIDIA企業(yè)應用程序中心才能從NVIDIA許可中心獲取更新��。
要了解計算機上當前已安裝的NVIDIA顯示驅(qū)動程序版本���,可以按照此處詳細介紹的詳細步驟��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
