Se descubrieron dieciséis vulnerabilidades en el controlador de pantalla de la GPU de Nvidia y el software vGPU, algunos de los cuales severos.
Las vulnerabilidades podrían conducir a negación de servicio, escalada de privilegios, manipulación de datos, y ataques de divulgación de información.
El controlador de pantalla de la GPU de Nvidia admite unidades de procesamiento de gráficos y también está presente en el software vGPU para estaciones de trabajo virtuales, servidores, aplicaciones, y computadoras personales. La más peligrosa de las vulnerabilidades es CVE ‑ 2021‑1051., con una puntuación CVSS de 8.4.
Más sobre CVE ‑ 2021‑1051
De acuerdo con la descripción oficial, todas las versiones de NVIDIA GPU Display Driver para Windows contienen una laguna en la capa del modo kernel (nvlddmkm.sys) intercambios para DxgkDdiEscape. Aquí es donde “se realiza una operación, lo que puede dar lugar a la denegación de servicio o la escalada de privilegios.” En términos sencillos, La explotación de CVE ‑ 2021‑1051 puede provocar ataques de denegación de servicio o escalada de privilegios..
La segunda vulnerabilidad más grave del controlador es CVE ‑ 2021‑1052., que podría conducir a la denegación del servicio, privilegios escalada, y la divulgación de información. “Controlador de pantalla NVIDIA GPU para Windows y Linux, Todas las versiones, contiene una vulnerabilidad en la capa del modo kernel (nvlddmkm.sys) controlador para DxgkDdiEscape o IOCTL en el que los clientes en modo de usuario pueden acceder a API privilegiadas heredadas, que puede llevar a la denegación del servicio, escalada de privilegios, y la divulgación de información,” el aviso dice.
El siguiente en la lista en términos de gravedad es Nvidia también ha resuelto CVE ‑ 2021‑1053. La falla es un error del controlador de pantalla que afecta a Windows y Linux. Con una puntuación CVSS de 6.6, el error es moderado, También causa denegación de servicio debido a la validación incorrecta de un puntero de usuario dirigido a la misma capa de modo de kernel.
CVE ‑ 2021‑1054 y CVE ‑ 2021‑1055 en la misma capa de modo de kernel afectan a los sistemas Windows. Estas fallas podrían causar fallas en la realización de verificaciones de autorización y controles de acceso incorrectos y dar lugar a la denegación del servicio.. CVE ‑ 2021‑1055 también podría aprovecharse para lograr fugas de datos.
Divulgación técnica completa de todos 16 vulnerabilidades está disponible en Boletín de seguridad oficial de Nvidia.
En febrero de 2019, Nvidia abordó ocho problemas de seguridad en la GPU software de controlador de pantalla de NVIDIA. Una de las vulnerabilidades afectó tanto a los sistemas Linux como Windows. Los problemas podrían llevar a la ejecución del código., escalada de privilegios, Ataques de denegación de servicio, y la divulgación de información.