Af Eskil Sørensen, 05/12/22
NVIDIA har udgivet sikkerhedsopdatering som led i sin november-patch. Det skriver Security Week og en række andre medier.
I alt adresserer sikkerhedsopdateringen 29 sårbarheder på Windows- og Linux GPU-driverne, hvoraf syv fejl er kategoriseret som alvorlige.
Den mest alvorlige fejl har id’et CVE-2022-34669 (CVSS-score på 8,8), hvilket er et problem i Nvidias Windows-driver. Den kan udnyttes af en uprivilegeret angriber til at få adgang til eller manipulere med systemfiler eller andre filer. Ifølge Nvidia vil en vellykket udnyttelse af fejlen kunne give angriberen mulighed for at afvikle vilkårlig kode, forårsage en denial-of-service (DoS)-tilstand, eskalere privilegier, få adgang til begrænset information eller ændre data.
En anden alvorlig fejl i Windows-driveren er en out-of-bounds-write sårbarhede med id’et CVE-2022-34671 (CVSS-score på 8,5). Desuden er der en sårbarhed i Nvidia Kontrolpanel til Windows, der kan give en uautoriseret hacker mulighed for at eskalere privilegier, lække følsomme data eller udføre kommandoer. Fejlen har id’et CVE-2022-34672 (CVSS-score på 7,8).
Chipproducenten Nvidia har også annonceret, at der er patches til fire alvorlige sårbarheder i kernetilstandslaget i skærmdriveren til Linux. Udnyttelse kan føre til denial-of-service, fortrolighed eller integritetsissues.
Endelig adresserer Nvidias driveropdateringer også tre alvorlige problemer i virksomhedens virtuelle GPU (vGPU)-software.
Brugere rådes til at downloade og installere de tilgængelige patches så hurtigt som muligt. Detaljer om sårbarhederne findes i Nvidias sikkerhedsbulletin.
Links:
https://www.bleepingcomputer.com/news/security/nvidia-releases-gpu-driver-update-to-fix-29-security-flaws/
https://www.darkreading.com/application-security/nvidia-gpu-driver-bugs-device-takeover
https://www.securityweek.com/nvidia-patches-many-vulnerabilities-windows-linux-display-drivers
https://nvidia.custhelp.com/app/answers/detail/a_id/5415