Zestien kwetsbaarheden werden ontdekt in de Nvidia GPU-beeldschermstuurprogramma en vGPU-software, waarvan sommige ernstig.
De kwetsbaarheden kunnen leiden tot denial of service, escalatie van privileges, knoeien met gegevens, en aanvallen op het vrijgeven van informatie.
Het Nvidia GPU-beeldschermstuurprogramma ondersteunt grafische verwerkingseenheden en is ook aanwezig in vGPU-software voor virtuele werkstations, servers, apps, en personal computers. De gevaarlijkste kwetsbaarheid is CVE ‑ 2021‑1051, met een CVSS score van 8.4.
Meer over CVE ‑ 2021‑1051
Volgens de officiële beschrijving, alle versies van NVIDIA GPU Display Driver voor Windows bevatten een maas in de kernelmoduslaag (nvlddmkm.sys) trades voor DxgkDdiEscape. Dit is waar “er wordt een operatie uitgevoerd, wat kan leiden tot weigering van service of escalatie van privileges.” In lekentaal, uitbuiting van CVE ‑ 2021‑1051 kan denial of service of escalatieaanvallen van privileges veroorzaken.
Het op een na ernstigste beveiligingslek in het stuurprogramma is CVE ‑ 2021‑1052, wat kan leiden tot weigering van dienstverlening, privileges escalatie, en het vrijgeven van informatie. “NVIDIA GPU-beeldschermstuurprogramma voor Windows en Linux, alle versies, bevat een kwetsbaarheid in de kernelmoduslaag (nvlddmkm.sys) handler voor DxgkDdiEscape of IOCTL waarin clients in gebruikersmodus toegang hebben tot verouderde geprivilegieerde API's, wat kan leiden tot weigering van dienstverlening, escalatie van privileges, en het vrijgeven van informatie,” het advies zegt.
De volgende op de lijst in termen van ernst is dat Nvidia ook CVE ‑ 2021‑1053 heeft opgelost. De fout is een fout in het beeldschermstuurprogramma die van invloed is op Windows en Linux. Met een CVSS-score van 6.6, de bug is matig, ook het veroorzaken van denial of service vanwege onjuiste validatie van een gebruikersaanwijzer gericht op dezelfde kernelmoduslaag.
CVE ‑ 2021‑1054 en CVE ‑ 2021‑1055 in dezelfde kernelmoduslaag zijn van invloed op Windows-systemen. Deze fouten kunnen ertoe leiden dat autorisatiecontroles en onjuiste toegangscontroles niet worden uitgevoerd, en kunnen leiden tot weigering van service. CVE ‑ 2021‑1055 zou ook kunnen worden gebruikt om datalekken op te lossen.
Volledige technische openbaarmaking van allemaal 16 kwetsbaarheden zijn beschikbaar in Het officiële beveiligingsbulletin van Nvidia.
In februari 2019, Nvidia heeft acht beveiligingsproblemen aangepakt in de NVIDIA GPU Display Driver software. Een van de kwetsbaarheden was van invloed op zowel Linux- als Windows-systemen. De problemen kunnen leiden tot code-uitvoering, escalatie van privileges, denial of service-aanvallen, en het vrijgeven van informatie.