Im Nvidia GPU-Anzeigetreiber und in der vGPU-Software wurden 16 Sicherheitslücken entdeckt, einige davon schwer.
Die Sicherheitslücken könnten dazu führen Denial of Service, Eskalation von Privilegien, Datenmanipulation, und Angriffe zur Offenlegung von Informationen.
Der Nvidia GPU-Anzeigetreiber unterstützt Grafikprozessoren und ist auch in der vGPU-Software für virtuelle Workstations enthalten, Server, Apps, und PCs. Die gefährlichste der Sicherheitsanfälligkeiten ist CVE-2021-1051, mit einem CVSS-Score von 8.4.
Weitere Informationen zu CVE-2021-1051
Nach der offiziellen Beschreibung, Alle Versionen des NVIDIA GPU Display Driver für Windows enthalten eine Lücke in der Kernelmodus-Ebene (nvlddmkm.sys) handelt für DxgkDdiEscape. Das ist wo “eine Operation wird ausgeführt, Dies kann zu Dienstverweigerung oder Eskalation von Berechtigungen führen.” In juristischer Hinsicht, Die Nutzung von CVE-2021-1051 kann zu Denial-of-Service- oder Privilegien-Eskalationsangriffen führen.
Die zweitschwerste Sicherheitsanfälligkeit im Treiber ist CVE-2021-1052, was zu Denial-of-Service führen könnte, Privilegien Eskalation, und die Offenlegung von Informationen. “NVIDIA GPU Display Driver für Windows und Linux, alle Versionen, enthält eine Sicherheitsanfälligkeit in der Kernelmodusschicht (nvlddmkm.sys) Handler für DxgkDdiEscape oder IOCTL, in dem Clients im Benutzermodus auf ältere privilegierte APIs zugreifen können, Dies kann zu Dienstverweigerung führen, Eskalation von Privilegien, und die Offenlegung von Informationen,” die Beratung sagt.
Als nächstes steht Nvidia in Bezug auf den Schweregrad auf der Liste und hat CVE-2021-1053 gelöst. Der Fehler ist ein Bildschirmtreiberfehler, der Windows und Linux betrifft. Mit einer CVSS-Punktzahl von 6.6, Der Fehler ist moderat, Dies führt auch zu einem Denial-of-Service aufgrund einer nicht ordnungsgemäßen Validierung eines Benutzerzeigers, der auf dieselbe Kernelmodusschicht abzielt.
CVE-2021-1054 und CVE-2021-1055 in derselben Kernelmodusschicht wirken sich auf Windows-Systeme aus. Diese Fehler können dazu führen, dass Autorisierungsprüfungen und unsachgemäße Zugriffskontrollen nicht durchgeführt werden und der Dienst verweigert wird. CVE-2021-1055 könnte auch genutzt werden, um Datenlecks zu erzielen.
Vollständige technische Offenlegung aller 16 Schwachstellen sind in verfügbar Nvidias offizielles Sicherheitsbulletin.
Im Februar 2019, Nvidia ging auf acht Sicherheitsprobleme ein in der NVIDIA-GPU-Grafiktreibersoftware. Eine der Sicherheitslücken betraf sowohl Linux- als auch Windows-Systeme. Die Probleme können zur Codeausführung führen, Eskalation von Privilegien, Denial-of-Service-Attacken, und die Offenlegung von Informationen.