Dezesseis vulnerabilidades foram descobertas no driver de vídeo GPU Nvidia e software vGPU, alguns dos quais graves.
As vulnerabilidades podem levar a negação de serviço, escalação de privilégios, violação de dados, e ataques de divulgação de informações.
O driver de vídeo Nvidia GPU suporta unidades de processamento gráfico e também está presente no software vGPU para estações de trabalho virtuais, servidores, Aplicativos, e computadores pessoais. A mais perigosa das vulnerabilidades é CVE ‑ 2021‑1051, com uma pontuação CVSS de 8.4.
Mais sobre CVE ‑ 2021‑1051
De acordo com a descrição oficial, todas as versões do NVIDIA GPU Display Driver para Windows contêm uma lacuna na camada de modo kernel (nvlddmkm.sys) trocas para DxgkDdiEscape. Aqui é onde “uma operação é realizada, o que pode levar à negação de serviço ou aumento de privilégios.” Em termos leigos, exploração de CVE-2021-1051 pode causar negação de serviço ou ataques de escalonamento de privilégios.
A segunda vulnerabilidade mais grave no driver é CVE ‑ 2021‑1052, o que pode levar à negação de serviço, escalonamento de privilégios, e divulgação de informações. “Driver de vídeo NVIDIA GPU para Windows e Linux, Todas versões, contém uma vulnerabilidade na camada do modo kernel (nvlddmkm.sys) manipulador para DxgkDdiEscape ou IOCTL no qual clientes em modo de usuário podem acessar APIs com privilégios legados, o que pode levar à negação de serviço, escalação de privilégios, e divulgação de informações,” o aviso diz.
Em seguida na lista em termos de gravidade, a Nvidia também resolveu CVE ‑ 2021‑1053. A falha é um bug do driver de vídeo que afeta o Windows e o Linux. Com uma pontuação CVSS de 6.6, o bug é moderado, também causando negação de serviço devido à validação inadequada de um ponteiro de usuário direcionado à mesma camada de modo kernel.
CVE ‑ 2021‑1054 e CVE ‑ 2021‑1055 na mesma camada de modo kernel afetam os sistemas Windows. Essas falhas podem causar falhas na execução de verificações de autorização e controles de acesso inadequados e levar à negação de serviço. CVE ‑ 2021‑1055 também pode ser explorado para obter vazamentos de dados.
Divulgação técnica completa de todos 16 vulnerabilidades está disponível em Boletim oficial de segurança da Nvidia.
Em fevereiro 2019, Nvidia resolveu oito problemas de segurança no software NVIDIA GPU Display Driver. Uma das vulnerabilidades afetou os sistemas Linux e Windows. Os problemas podem levar à execução de código, escalação de privilégios, ataques de negação de serviço, e divulgação de informações.